Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad

Checklista

Här är en checklista med ordningsföljd över de olika stegen i delprocessen.

Frågebatteri

Ställ dessa plus de "viktigaste frågorna"

  • Vilken tidzon har drabbad?
  • Vill de dela med sig av info kring attacken till andra som har drabbats av samma/liknande attack(er)?
  • Vill de dela med sig av info, erfarenheter eller loggar till betrodd tredje part (EGC, FIRST)?
  • Finns det loggar från nätverk eller drabbat system?
  • Vad är det för typ av attack?
  • Går det att blockera trafik i router eller brandvägg?
  • Vad har organisationen gjort för att att begränsa/avbryta attacken?
  • Är någon ISP kontaktad?
  • Är någon CERT kontaktad?
  • Är systemet en del i ett "outsourcing"-avtal?

Loggar

  • Sätta upp en sniffer snarast (rekommendera att spela in trafiken)

Samla in alla typer av relevanta loggar

  • ISP-loggar
  • FW-loggar
  • Routerloggar
  • Flow-data
  • Andra typer av loggar?

Analysera loggar

  • Ta fram information om IP-adresser för att senare används vid Notice & Takedown
  • Analysera tillvägagångssätt och trafikflöden

Notice and takedown

Kontakta:

  • ISP:er
  • NSP-SEC
  • EGC
  • FIRST
  • Övriga CERT:ar eller organistaioner med ansvar för inblandade IP-adresser

Åtgärder

Här är en länk till åtgärder från dokumentet Begränsa DDoS

Efterforskning

Köra IP-adresser som har förekommit i loggarna mot några av följande system/platser:

  • Shadowserver - leta efter IP:n
  • Googla IP-adresser
  • Passive-DNS
  • RBL-listor