Chikane fra utilfredse hacktivister, afpresning fra it-kriminelle, ’collateral damage’ i forsøget på at ramme andre websider eller en ren tilfældighed. Der kan være mange grunde til, at netop din hjemmeside pludseligt bliver bombarderet med trafik, så det er en god idé at tænke situationen igennem på forhånd.
»I dag må man antage, at man kan komme i vælten og blive udsat for DDoS, hvis man eksempelvis er part i en offentlig debat. Det så vi for eksempel med KL under lærerkonflikten sidste forår, og med fagforeningen 3F under konflikten med restaurant Vejlegården. Et DDoS-angreb er noget, der kan ramme rigtig mange,« fortæller Thomas Kristmar, chef for Krisestyrings- og Operationsafdelingen hos Center for Cybersikkerhed.
»Det er også set i Danmark, at store og ellers robuste hjemmesider har været udsat for noget, der ligner prøveskydninger med korte DDoS-angreb på for eksempel 10 minutter, hvor angriberen tilsyneladende tester egen angrebsvolumen. Den type angreb kan komme uden varsel,« siger han.
Hans første råd er derfor at lave en risikovurdering af, hvor følsom ens organisation er overfor DDoS-angreb. Nogle er måske i virkeligheden ikke så afhængige af, at hjemmesiden er online hele tiden, mens det for andre vil være en økonomisk katastrofe at blive lagt ned bare få timer. Beslutningen om, hvilken risiko man er klar til at løbe, skal gøres helt klar og tages af ledelsen.
»Man har måske ikke noget forretningskritisk på sin webside, så man kan godt nå frem til en konklusion om, at siden godt kan tåle at blive ramt af DDoS-angreb. Men så glemmer man ofte, at samme infrastruktur kører andre kritiske tjenester, for eksempel e-mail og fjernadgang for medarbejderne, som så bliver revet med ned, sammen med hjemmesiden, under et DDoS-angreb. Al trafikken kan for eksempel gå gennem samme firewall, og hvad gør man så, når den bliver overbelastet?« spørger Thomas Kristmar.
Det er derfor vigtigt, at risikovurderingen bliver lavet med hjælp fra de personer i organisationen, der kender netværksopbygningen og robustheden i de forskellige netværkskomponenter.
Hav en simpel nød-hjemmeside i baghånden
Efter risikovurderingen begynder arbejdet med at beskytte sig bedre mod DDoS-angreb. For det første skal man sikre sig, at man kender sin egen infrastruktur til bunds: Hvordan hænger det hele sammen, og hvilke dele afhænger af hinanden?
Desuden skal man sikre sig, at alle netværkskomponenter er opdateret til seneste patch level, råder Thomas Kristmar.
En anden del af forberedelserne kan være at udvikle en simpel nødside, der kun belaster serveren meget lidt. Så vil man kunne tåle væsentligt højere belastning, end hvis den normale webside med masser af kald til serveren bliver udsat for store mængder trafik.
Næste skridt er at forbedre modstandskraften generelt, og det kræver ikke nødvendigvis store investeringer, fortæller Henrik Kramshøj, direktør for Solido Networks og en erfaren DDoS-bekæmper.
Man kan billigt og effektivt skrue ned for de forstærkede angreb gennem internettets navneservere, som hackere med få resurser kan bruge til at sende enorme mængder UDP-data. Den slags datapakker udgør nemlig normalt kun en meget lille del af trafikken.
»Du kan bede din internetudbyder om at få begrænset UDP-trafik til højst 10 procent af båndbredden. Det anbefaler vi alle at gøre, for rigtig mange har ikke gjort det endnu,« siger Henrik Kramshøj som natten før interviewet havde oplevet endnu et UDP-angreb mod en kunde.
I den daglige drift og udvikling af websiderne anbefaler han at bruge lidt ekstra resurser og opmærksomhed for at få en højere kvalitet, både i det tekniske setup og i koden bag hjemmesiden.
»Høj kvalitet er mere sikkert og mere robust over for angreb. Hvis man køber en lidt større server, og man optimerer hjemmesiden og finpudser sin kode, så der ikke er nogle unødvendige kald til serveren, vil man kunne klare sig bedre ved et angreb,« forklarer Henrik Kramshøj.
Det er også klogt at gå igennem indstillingerne for logning på webserveren, for det kan hurtigt ende som en flaskehals.
»Mange logger blindt rigtig meget, uanset situationen. Du skal sørge for, at logningen ikke tager for meget performance og kun gemme det, der er relevant, for ellers risikerer du, at serveren, der gemmer alle logs, løber fuld under et DDoS-angreb. Det kan medføre, at serveren lukker ned af den grund, og så har angriberne fået samme effekt, selvom der ellers er kapacitet nok til at drive hjemmesiden,« fortæller Thomas Kristmar og henviser til en vejledning på Center for Cybersikkerheds
webside cfcs.dk.
Lad internetudbyderen bekæmpe store angreb
At opgradere og forbedre beskyttelsen på egne servere vil kunne hjælpe systemerne igennem moderate angreb eller pludselige stigninger i trafik, som ikke skyldes ond vilje.
»Vi oplever også, at man kan være sårbar over for succes. Det kan give rigtig mange nye besøgende, hvis man sender en tv-reklame eller bare bliver nævnt de rigtige steder på nettet, altså ’slashdot-effekten’, opkaldt efter mediet Slashdot.com. Så man skal også ruste sig til succes,« siger Henrik Kramshøj.
Er man havnet i sigtekornet og udsat for et kraftigt og målrettet DDoS-angreb, er det dog næsten umuligt at klare sig igennem uskadt på egen hånd. Så må man købe sig hjælp hos internetudbyderen.
»Man skal kunne klare de små angreb selv, og så skal man overlade de store til internetudbyderen. Vi ser angreb på over 100 gigabit pr. sekund, og det kan man ikke selv klare. Så sørg for at vælge en udbyder, som har tænkt over DDoS-beskyttelse,« råder Henrik Kramshøj.
Der er flere fordele ved at overlade kampen mod de enorme trafikmængder til internetudbyderen, for så kan angrebet kvæles tættere på kilden.
»En stor udbyder som TDC kan holde angrebet i deres core-netværk, uden at belaste kundens netværk eller forbindelserne til kundens naboer. Så derfor er det også godt for teleselskabet at gøre det på denne måde,« siger Henrik Kramshøj.
Der er forskellige grader af beskyttelse, man kan købe hos internetudbyderne, og det kan hurtigt løbe op, hvis man køber den fulde pakke. Men driver man sin forretning via hjemmesiden, eller vil beskytte for eksempel en netbank, kan det være en god investering, lyder rådet.
»De store internetudbydere er begyndt at tilbyde at ’vaske’ trafikken, og det er ikke noget, der er billigt. Men hvis man er afhængig af sin hjemmeside, kan det være godt. Sådan en løsning kan måske tage 10 millioner pakker pr. sekund, mens kunden alene måske er sårbar ved 100.000 pakker pr. sekund,« siger Henrik Kramshøj.
Et sidste råd er helt lavpraktisk, men guld værd den dag et DDoS-angreb pludseligt står i fuldt flor.
»Sørg for at have kontaktinformation klar på alle involverede, for eksempel på din telefon. Du skal kunne ringe direkte til de rigtige folk hos din internetudbyder, og til dem, der ved hvordan dine servere virker. Så spilder du ikke tid på at finde nummeret, komme igennem omstillingen og måske blive stillet om forkert,« siger Henrik Kramshøj.
Læs mere
Du kan få mange flere gode råd om kampen mod DDoS-angreb her:
- Henrik Kramshøjs tekniske blogindlæg
- Center for Cybersikkerheds vejledninger om DDoS-beskyttelse. Her kan du finde dokumenter generelt om DDoS-beskyttelse, gode råd om logning, samt råd specifikt til at beskytte mod SNMP og DNS Amplification-angreb.
Leave a Reply