Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en verksamhetschef till CERT-SE, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 14 april.

Publicerad

Identifiera DDoS - vad har hänt?

I den här delprocessen behandlas insamling samt analys av information och data för avgörande om en incident har inträffat.

Följande punkter behandlas :

  • Upptäcka och identifiera en DDoS-attack
  • Informationsinsamling genom frågor
  • Analys av information och data
  • Vilka steg bör vidtas vid en DDoS-attack?

Upptäcka och identifiera en DDoS-attack

DDoS är en typ av attack som är mycket svår att skydda sig emot. Det finns ett antal steg som kan vidtas för att mildra en eventuell attack. Dessa steg beskrivs under delprocessen Förebygga.

Upptäckten av en DDoS-attack kan ske genom att åtkomst till Internet känns segt som sirap eller inte fungerar över huvud taget alternativt att vissa system inte går att nå från egna eller externa nät. I vissa fall är det så att externa parter är de som upptäcker att till exempel webbservern inte svarar. Monitorering kan naturligtvis också med fördel användas för att upptäcka en pågående DDoS-attack.

Vad kan CERT-SE bidra med?

  • Information om DoS och DDoS
  • Insamling av information kring incidenten
  • Analys av loggar
  • Stöd i form av "tekniskt bollplank"
  • Länkar till mer information
  • Kontaktinformation till andra aktörer inom området
  • Hjälpa till med att stänga ner angripande IP-adresser
  • Kontakta ISP:er eller tjänsteleverantörer åt den drabbade organisationen
  • Kontakta andra CERT-organisationer
  • Analys av data från maskin delaktig i DDoS-attack

Förutsättningar och terminologi

Det finns flera typer av belastningsattacker, huvudtyperna är antingen DoS eller DDoS.

En DoS-attack kan bestå av något så enkelt som endast ett specialformaterat paket som orsakar att systemet kraschar eller tjänster slutar att fungera, den kan också överbelasta ett system med normal trafik från ett annat (kraftfullare) system. Den första typen av attacker är ofta riktad mot en specifik tjänst som i många fall innehåller en sårbarhet eller är felaktigt konfigurerad.

DDoS är distribuerade attacker som vanligen bygger på angrepp genom att använda multipla system för attacken. DDoS kan fungera oberoende av sårbarheter i målsystemet.

En vanlig typ av DDoS-attack kan vara så kallade "flood"-attacker som kan bestå av ofullständiga uppkopplingar t.ex. SYN-paket, ICMP-paket eller UDP-paket där angriparen fyller upp målets minsta kommunikationslänk med nätverkstrafik. Resultatet blir då att tjänsten inte kan nyttjas av legala användare.

Något att tänka på vid DDoS-attacker är att angriparen kan förfalska avsändaradressen då inte fullständig kommunikation upprättas, s.k. spoofing. Detta kan ske till exempel vid UDP-baserad kommunikation och "SYN flooding".

DDoS-attacker kan även amplifieras (förstärkas) genom att studsa (reflektera) dem mot en Internet-baserad tjänst som tar emot en liten förfrågan men ger tillbaks ett större svar. Målet för attacken ges då som avsändare med hjälp av spoofing. Resultatet blir då att målet drabbas av den förstärkta returtrafiken och normal kommunikation störs.

DDoS kan också vara angrepp mot specifika system som t.ex. en webbserver där målet är att få systemet att sluta att svara på anrop. Detta kan uppnås genom att begära stora dokument eller bilder. Andra metoder kan vara att skicka specialformaterade paket som orsakar en systemkrasch eller att återanvända ofullständig kommunikation på högre nivåer i kommunikations-stacken så kallad "layer 7"-attack.

För att kunna hantera en DoS/DDoS-attack krävs det att det finns loggar att tillgå från t.ex. webbservrar, brandväggar, routrar, IDS/IPS samt eventuellt en nätverksanalysator.

DoS = Denial Of Service

DDoS = Distributed Denial Of Service

Nätverksanalysator = Utrustning som spelar in nätverkstrafik

SYN = Det första paketet i en TCP-handskakning

ICMP = Internet Control Message Protocol (felhanteringsprotokoll för sessionslösa protokoll t.ex.UDP)

Insamling av information från situationen

Genomgång av frågor kring den eventuella incidenten för att analysera läget och fastställa vilka åtgärder som är eller inte är vidtagna (glöm inte de viktigaste frågorna som finns i separat dokument).

  • Vad får organisationen att tro att systemet/organisationen är drabbad?
  • Vilka observationer är gjorda?
  • Hur upptäcktes problemet?
  • När upptäcktes problemet?
  • Var upptäcktes problemet? (fysisk placering av det drabbade systemet)
  • Vem upptäckte problemet?
  • Vad är det för typ av system?
  • Kritiskt? I så fall på vilket sätt kritiskt [Sekretess | Riktighet | Tillgänglighet]
  • Kopplingar eller beroenden mot andra system?
  • Vilket OS?
  • Användningsområde eller syfte?
  • Var är systemet beläget, vilket nätverkssegment?
  • Driftas systemet av egen eller extern organisation?
  • Kan eller får systemet stänga ner?
  • Vilka åtgärder är tagna?
  • Är systemet intakt?
  • Har systemet startats om?
  • Har nätverk kopplats bort?
  • Finns det centrala eller/och lokala loggar?
  • Vilken typ av loggar finns att tillgå? (lokala, nätverk)
  • Vilka typer av systemloggar finns ? (IDS, FW, IPS, ???)
  • Har loggarna vuxit onormalt mycket?
  • Kan något annat system ha drabbats?
  • Vilken tidzon har drabbad?
  • Vilken ISP har drabbad?
  • Vill drabbad dela med sig av information om incidenten till andra som drabbats av samma/liknande angrepp?
  • Vill drabbad dela med sig av info och erfarenheter till betrodd tredje part (EGC, FIRST)?

Insamling av data

Förutom att samla in loggar från t.ex. brandväggar, routrar, DNS med mera så är det bra ur analyssynpunkt att sätta upp en nätverksanalysator (om möjligt) och spela in trafiken som flödar på det drabbade nätsegmentet. Det kan vara till stor hjälp till vid en senare analys av attacken.

Följande data är intressant att samla för vidare analys.

  • Loggar (från ISP, FW, Router, IDS/IPS, WWW, Mail, DNS, nätverksanalysator m.fl.)
  • Insamling av data från maskin delaktig i DDoS-attack (se Identifiera intrång)
  • Vilken typ av attack är det?

Analys av insamlad information och data

I ett första steg så analyseras information och eventuell data för att fastställa om en incident verkligen har inträffat eller inte. Vid ett resultat som pekar på att en incident pågår bör beslut tas om begränsande åtgärder eller fortsatt analys. Om det bedöms som nödvändigt så kan ytterligare insamling av data samt en grundligare analys där bevisinsamling, spegelkopia av hårddisk samt sökning efter information om angripare ske.

Det data som samlats in under den här delprocessen kommer även att analyseras i nästa steg.

Förslag på program för att analysera situationen

Vid analyser av nätverksloggar kan följande program användas:

  • Wireshark (analyserar Pcap-data)
  • Argus (analyserar NetFlow- och Pcap-data)
  • Nfdump (analyserar NetFlow-data)

Vilka steg bör vidtas vid en DDoS-attack?

I första hand så måste attacken identifieras och om möjligt loggar analyseras för att avgöra vilken typ av attack det handlar om (det är viktigt att spara alla typer av loggar som kan användas vid analys av incidenten). När detta är fastställt så gäller det att avbryta eller begränsa effekten av attacken. Organisationen bör sedan kontakta sin ISP som kan hjälpa till att blockera angripande IP-adresser.

Nästa steg kan vara att kontakta CERT-organisationer i de länder där attacken härstammar ifrån. I det fall det handlar om ett angrepp från ett botnet så kan det innebära att attacken kommer från massor av olika länder.

Mer om hantering av DDoS-attacker beskrivs under delprocessen: Begränsa DDoS

Förebyggande råd samt ytterligare information för att underlätta vid DDoS-attacker.

Länkar till förebyggande råd att tillgå från CERT-SE:s webbplats: Tillgänglighetsattack vad är det... Förebygga DDoS

Länkar

Länkar till ytterligare extern information inom delprocessen:

http://en.wikipedia.org/wiki/Denial-of-service_attack

http://www.sans.org/reading_room/whitepapers/detection/denial-service-attacks-mitigation-techniques-real-time-implementation-detailed-analysi_33764 (Kapitel 5)