Vad är en DDoS-attack? Konsekvenser och motåtgärder

Med anledning av DDoS-attacken mot SL förra veckan – som Marcus Murray intervjuades om – och nu senast mot flera finska myndigheter, har vi ställt några fördjupande frågor till säkerhetsexpert Mikael Lagström, Truesec. Han förklarar hur DDoS-attacker fungerar och hur allvarligt det egentligen kan bli.

Mikael Lagström, säkerhetsexpert TrueSec.

Vad är en DDoS-attack?
DDoS står för Distributed Denial of Service och görs i syfte att hindra normal användning av ett system. En DDoS-attack bygger på att en stor mängd anrop med en relativt liten mängd data – samtidigt och kontinuerligt från flera datorer – skickas till ett datorsystem eller nätverk. Därmed överbelastas det utsatta systemet av den stora mängden anrop och endast liten kapacitet blir kvar, vilket gör systemet segt eller i vissa fall, stänger ned det helt och hållet. Generellt sett är DDoS en typ av attack som är mycket svår att skydda sig emot, men det finns några åtgärder man kan vidta för att minska effekterna av en eventuell attack. Vanligaste upptäckten av en pågående DDoS-attack kan vara genom att internetåtkomst upplevs som segare än vanligt eller inte fungerar alls. Ett annat bra sätt att i ett tidigt skede upptäcka en attack är att ha en aktiv monitorering av trafikmönster.

Hur vanligt är det egentligen med DDoS-attacker?
Många tänker och tror att det inte är så allvarligt eller att det nog inte drabbar just mitt företag, men faktum är att DDoS-attackerna har tiodubblats i antal bara i år, samt att den genomsnittliga storleken på attackerna mer än fördubblats på senare tid. Exempelvis har flera stora banker runt om i Europa fått stänga ner sina verksamheter tillfälligt på grund av DDoS-attacker. Viktigast är att vara förberedd. Om eller när du drabbas måste attacken identifieras och loggar analyseras för att avgöra vilken typ av attack det handlar om.

Finns det någon check-lista för hur man ska hantera en DDoS-attack?
Ja, det finns ett antal frågor man kan ställa:

  • Finns det loggar från nätverk eller från drabbade systemet? Behjälpliga loggar är till exempel ISP-loggar, brandväggsloggar, routerloggar, IDS-loggar, IPS-loggar, systemloggar och flowdata
  • Går det att blockera trafik i någon nätverksutrustning?
  • Vad har organisationen gjort för att begränsa eller avbryta attacken?
  • Är någon ISP eller tjänsteleverantör kontaktad?
  • Är någon CERT kontaktad?
  • Sköts systemdriften av det drabbade systemet internt eller av extern leverantör?

När man fastställt vilken typ av attack det är med hjälp av insamlad information och loggar så skall man avbryta eller begränsa effekten av attacken. Du bör även kontakta er ISP som kan hjälpa till med att blockera dom IP-adresser som angreppet kommer ifrån. Därefter kan det vara en god ide att kontakta CERT-organisationer i de länder som attacken kommer ifrån.

Vilka konsekvenser kan en DDoS-attack ge?
Det är lätt att tro att det bara skulle vara företagets webbsida som går ner och inte är nåbar – men lägg till det faktum att även intranät, epost och kommunikation med kunder och leverantörer kommer att störas. I många fall påverkas även själva produktionen i sig, och en kostnad för stillestånd och återställning tillkommer. Det är förvånansvärt många som betalar lösensummor för att attackerna skall sluta, men det finns såklart inga garantier mot det. Och varje gång någon betalar en kriminell organisation eller person, så växer dom sig starkare, vilket hela tiden förvärrar situationen.

Marcus Murray, VP-Cyber Programs and Founder of TrueSec.

Vilket motståndsåtgärder kan göras?
Marcus nämner i radiointervjun i SR Studio Ett att det är lite olika beroende på vilken typ av verksamhet man bedriver. Exempelvis om man har sina vanliga webbesökare från Sverige, så är det ett enkelt val att blockera trafik som inte kommer ifrån norden eller Sverige. Varje organisations behov och möjligheter till motåtgärder är olika men i enkelhet kan man säga att man bör se till att webb- och IT-resurserna kan hantera höga trafiknivåer, samt att man skall använda professionella lösningar för att skydda sin verksamhet mot attacker. Rent krasst så går det inte att skydda sig mot alla typer av DDoS-attacker, men det finns några saker du kan göra, för att nå rätt risknivå för din företagsverksamhet. Det handlar dels om kapacitetsplanering och att förutse hur organisationen och ens system faktiskt kommer att agera. För att få reda på det är det en god idé att simulera en faktisk attack, under kontrollerade former. På det sättet kan man bättre se indikatorer och sedan förstå följderna och därefter minimera sin osäkerhet genom att sätta upp rätt rutiner och motmedel. Det som också bör göras i förebyggande syfte är att kontakta din ISP eller tjänsteleverantören för att se om de kan erbjuda skydd mot, eller vara behjälpliga vid en eventuellt kommande attack.

Kan du nämna några konkreta åtgärder man kan göra för att begränsa eller avbryta en pågående DDoS-attack?

  • Notice & takedown – det vill säga nedstängning av IP-adresser och domäner som trafiken kommer ifrån.
  • Kontakta ISP eller tjänsteleverantör för att öka bandbredd, få dem att använda så kallad ”Black hole routing”, det vill säga att skicka angripande IP-adressers trafik ut i tomma intet istället för att drabba systemet.
  • Konfigurera filter (ACLer) i nätverksutrustningar.
  • Minska ”time out” för TCP-sessioner
  • Aktivera ”SYN cookies” för att skydda sig mot ”TCP SYN”-attacker

Vem ligger bakom DDoS-attacker och varför drabbas just du?
Den som ligger bakom en DDosS attack kan vara allt ifrån en missnöjd anställd eller en kund, som helt enkelt bara vill skada ditt företag och som köper en DDoS-attack som tjänst mot ditt företag. Det går faktiskt att köpa DDoS-attack som tjänst för så lite som 130 kronor, utan att någon speciell teknisk kunskap krävs – det enda som behövs är motiv och mål.

Det kan också vara en mycket organiserad och välplanerad attack från professionella kriminella organisationer. Orsaken bakom attackerna kan vara att störa ditt företags operativa verksamhet, utpressning, eller att smutskasta ditt varumärke i media. Ett annat scenario som inte skall bortses ifrån är att själva DDoS-attacken i sig sker för att förvilla din IT-organisation att fokusera på att hantera den uppkomna situationen, medans den riktiga huvudattacken i form av ett dataintrång sker mot dig på annat håll, vilket då minskar risken för upptäckt i tid.

Detta sammantaget gör att man inte skall ignorera hotet av DDoS-attacker, utan snarare prioritera det. Märker du att ditt företag drabbas gäller det att agera i tid. Vi jobbar ju dagligen både med förebyggande aktiviteter och utredningar av incidenter. Så är man osäker så ska man ju hör av sig till oss.

Tack för förtydligandet kring DDoS-attacker, Micke!

Av: Robin Björkell & Jenny Gustafsson, Head of Communications på Truesec.


By Jenny Pihl

Head of communications at Truesec, driven by the mission to make the world a more secure place, inspired by the fast paced development of technology and passionate about sharing my experience and learn from others.