Att förhindra en belastningsattack

Den senaste belastningsattacken mot flera mediesidor är, även om de är spektakulära, bara en i raden som drabbar svenska organisationer. Att dessa attacker blir vanligare beror på vårt ökade beroende av uppkopplade tjänster i kombination med att de faktiskt inte är speciellt komplicerade att utföra. Det finns dock en del förebyggande åtgärder företag och organisationer kan vidta för att förhindra belastningsattacker.

Belastningsattacker kan grovt sett utföras på två olika sätt, antingen utnyttjas att en tjänst inte är konfigurerad på rätt sätt eller så skickas så mycket trafik att tjänsten överbelastas och inte kan hantera det. Den förstnämnda typen av överlastningsattacker blir allt vanligare framförallt mot mindre och medelstora organisationer, då man utnyttjar att någonting hos målet inte är korrekt uppsatt eller att inte alla säkerhetsfunktioner som en produkt erbjuder används.

Jag sitter inte inne med någon ”inside information” om helgens attacker annat än den information som finns tillgänglig från öppna källor men granskar man inkommande trafik till de internetleverantörer som de drabbade siterna använder sig av (IP-only och Basefarm) så kan man se en kraftig ökning av trafik, främst från ryska telekombolag. Viktigt att notera är att bara för att attacken kommer från dessa så betyder det inte att Ryssland ligger bakom den, det innebär bara att de botar som används finns där.

Min spontana reaktion när jag ser graferna över inkommande trafik och de motåtgärder som IP-only vidtog är att det faktiskt ser ut som en gammal hederlig ”request spam”, vilket betyder att man istället för att utnyttja specifika sårbarheter skickar mer paket än mottagaren kan hantera. Botnet som kan utföra dessa attacker är relativt enkla att köpa på den svarta marknaden.

Att hantera en belastningsattack

Att beskriva hur en specifik belastningsattack ska hanteras är naturligtvis svårt utan full insikt i detaljerna runt attacken. Det är dock alltid viktigt att arbeta proaktivt, arbetet bör naturligtvis påbörjas långt innan attacken är ett faktum. Redan när man börjar fundera på att tillhandahålla (eller använda, men mer om det vid ett annat tillfälle) en tjänst måste man fundera på hur man skall förhindra och hantera denna sorts angrepp. Det är viktigt att tänka på vad man gör om ens tjänst blir otillgänglig.

Det finns väldigt många olika saker som kan göras för att förhindra belastningsattacker. Först måste man naturligtvis se till att den egna utrustningen konfigureras rätt och att de säkerhetsfunktioner som redan finns används, vilket ofta kallas för att härda sina tjänster mot potentiella angripare. Oftast finns det bra dokumentation från leverantörerna men om man inte vill göra det själv kan man antingen vända sig till sin leverantör eller en dedikerad säkerhetsfirma.

Om inte detta räcker, vilket det tyvärr sällan gör, så måste man börja designa sitt nätverk för att vara lite robustare. Här kan det handla om att införa lastbalanserare, förslagsvis med skydd mot överlastningsattacker och kanske titta på att ha ytterligare en internetförbindelse från en annan leverantör.

Sök hjälp utanför det egna företaget

Men att stoppa flera av de sorters belastningsattacker som förekommer nuförtiden är mer eller mindre omöjligt genom att endast åtgärda saker hos ”målet”, attackerna måste hanteras på vägen. Ett bra första steg kan vara att undersöka vad den egna internetleverantören kan hjälpa till med. Dels har de oftast en ganska omfattande och robust infrastruktur och kan använda den till att hantera eller mildra attacker och vissa kan även erbjuda dygnet runt-övervakning och manuell och adaptivt anpassning för att hantera angrepp.

 Men ibland räcker inte ens det, i den attack som ägde rum under helgen blev de två drabbade internetleverantörerna helt överlastade och IP-Only slutade till och med att annonsera att Aftonbladets webbadress låg hos dem för att förhindra att trafiken nådde dem.

 Då får man vända sig till en organisation som specialiserar sig på att tillhandahåller den här typen av tjänster, som tex Akamai eller CloudFlare. De använder sig ofta av flera olika metoder, till exempel använder de sig av olika ”tricks” med DNS. Deras viktigaste verktyg är dock att de oftast har ett robust nätverk som är utspritt över hela världen och därför kan begränsa en attack till att bara slå ut lokala kopior så att resten av världen fortfarande kommer åt sidorna, så kallad ”anycast”. Dessa organisationer brukar även vara väldigt duktiga på att snabbt sätta in motmedel.