Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Nu finns två jobbannonser ute: it-säkerhetsspecialist och junior systemadministratör.

Publicerad

Begränsa DDoS - Vad? Hur? Var? Vem?

I den här delprocessen behandlas begränsning och avbrott av pågående attack, minimering av spridning samt insamling av bevis för vidare analys.

Följande punkter behandlas:

  • Insamling av information från situationen
  • Insamling av data
  • Metoder för att begränsa eller eller avbryta attacken

Begränsa/avbryta en DDoS-attack

Det är sällan en organisation kan avhjälpa en DDoS-attack helt på egen hand. För att avbryta eller begränsa en attack så behövs det ofta hjälp av andra organisationer så som ISP:er, tjänsteleverantörer, CERT:ar och Polismyndigheter. Därför är god kommunikation och bra kontakter med sådana organisationer en förutsättning för att underlätta hanteringen av en DDoS-incident.

För att underlätta vid en attack så är det viktigt att ha gått igenom de förebyggande stegen i incidenthanteringsprocessen.

Om organisationen vill ta ärendet vidare för polisanmälan så är det viktigt att spara så mycket loggar som möjligt för bevisföring. Det här är en väldigt känslig del i incidenthanteringsprocessen. Det är ytterst viktigt att följa rätt rutiner för insamling, behandling och förvaring av data som ska användas som bevis.

Under denna delprocess dyker frågor upp som handlar om polisanmälan, egna undersökningar för att hitta och åtala förövaren. CERT-SE behandlar inte dessa frågor utan beskriver dem lite kortfattat och i de fall där det behövs, hänvisar till andra externa parter som kan hjälpa till.

Vad kan CERT-SE bidra med?

  • Notice & takedown
  • Kontakter
  • Information
  • Samordning
  • Råd och rekommendationer
  • Insamling av data
  • Analys av insamlat data
  • Ta fram information om IP-adresser

Förutsättningar och terminologi

Förutsättningar för att hantera en DDoS-attack innebär vanligen att ett förebyggande arbete är gjort. Vilket vanligen inkluderar kontakter med ISP:er, CERT:ar, polismyndigheter, programvarutillverkare m.fl. Dessutom så är det viktigt att ha kännedom om de egna systemen och näten samt kapaciteten hos dessa. Dessa steg beskrivs under delprocessen förebygga.

DoS = Denial Of Service

DDoS = Distributed Denial Of Service

Notice & Takedown = Begäran om hjälp av nedtagning av system

Black Hole Route = Omdirigera nätverkspaket till det tomma intet

TTL = Time To Live (värde som anger hur länge en DNS cachar information eller hur många hopp ett nätverkspaket får leva)

Insamling av information från situationen

Genomgång av frågor kring den eventuella incidenten för att analysera läget och fastställa vilka åtgärder som är eller inte är vidtagna.

För att kunna avgöra hur eller om man ska avbryta incidenten så är det viktigt att sätta sig in situationen. Det finns ett antal parametrar som är avgörande för hur organisationen kan hantera avbrytandet av en incident.

Nedan följer några frågor som bör ställas i ett tidigt skede.

  • Finns det loggar från nätverk eller drabbat system?
  • Vad är det för typ av attack?
  • Går det att blockera trafik i någon nätverksutrustning?
  • Vad har organisationen gjort för att att begränsa/avbryta attacken?
  • Är någon ISP eller tjänsteleverantör kontaktad?
  • Är någon CERT kontaktad?
  • Sköts systemdriften av en utomstående leverantör?

Insamling av data

(se även under Identifiera Intrång)

Insamling av loggar

För att få en god helhetsbild av situationen så är det viktigt att så tidigt som möjligt sätta upp en nätverkssniffer och spela in trafiken för att få en uppfattning om vilken typ av attack drabbat organisationen. Alla typer av loggar från nätverksutrustning och andra system är också av största vikt att samla in för att få en bild av incidenten.

Loggar som bör samlas in (om de finns att tillgå):

  • ISP-loggar
  • Brandväggsloggar
  • Routerloggar
  • IDS-loggar
  • IPS-loggar
  • Systemloggar
  • Flowdata

Analys av insamlat data

Ta fram information om IP-adresser för att senare används vid "notice & takedown"
Analysera tillvägagångssätt och trafikflöden

Metoder för att begränsa eller avbryta attacken

Här anges ett antal metoder för att begränsa eller avbryta attacken.

  • Notice & Takedown (ytterligare information angående nedstängning av IP-adresser och domäner)
  • Kontakta ISP eller tjänsteleverantör - öka bandbredd, få dem att använda "Black Hole Routing". Skicka angripande IP-adresser:s trafik ut i det tomma intet
  • Kontakta ISP:n eller tjänsteleverantören för att se om de kan erbjuda skydd mot eller vara behjälpliga vid en attack (bör göras i ett förebyggande skede)
  • Konfigurera filter (ACL:er) i nätverksutrustningar. Filter kan ibland tas fram med bakgrund av analysen som gjordes i identifieringsfasen
  • Se över konfigurationer av publika servrar
  • Minska "time out" för TCP-sessioner
  • Aktivera "SYN cookies" för att skydda sig mot "TCP SYN"-attacker

Länkar

Länkar till externa dokument eller webbsidor som behandlar metoder för att begränsa eller avbryta attacken.

http://www.symantec.com/connect/articles/closing-floodgates-ddos-mitigation-techniques

http://www.sans.org/reading_room/whitepapers/detection/denial-service-attacks-mitigation-techniques-real-time-implementation-detailed-analysi_33764 (kapitel 6)