Skydd mot DOS-attacker

Det finns inget 'säkert' skydd mot (D)DOS-attacker. Är man ansluten via en klenare linje än vad angriparen kan prestera så har man problem. Dock: det går både att vidta förebyggande åtgärder och att försöka begränsa skadan vid ett anfall.

Förebyggande åtgärder

  • Katastrof-version av webbserver: Man kan ha en mycket förenklad version av myndighetens webbserver som bara innehåller den mest väsentliga informationen och inte har några bilder etc.

  • Dimensionera kritiska system tillräckligt. Om de redan i normalläget går på knäna så behövs inte mycket för att de ska sänkas av en DOS-attack.

  • Se till att lämpliga verktyg (tcpdump, brandmur etc) finns installerat.

  • Se till att operativsystenet har stöd för SYN-cookies att kunna slås på vid behov. I exempelvis linux så ska

    • CONFIG_SYN_COOKIES=y i konfigurationen av kärnan. Vid en attack kan man göra: echo 1 > /proc/sys/net/ipv4/tcp_syncookies Observera att detta endast ska vara påslaget vid en aktiv attack!

  • Se till att kärnvariabeln tcp_fin_timeout (motsvarande) inte är för högt satt. Annars så kommer halvstängda sessioner att hänga kvar onödigt länge. 30-60 sekunder kanske kan vara lagom.

  • Man kan ev öka på kärnvariabeln för max_tcp_syn_backlog så att fler påbörjade sessioner kan hanteras. Det är dock

  • lite tveeggat, kan hantera smärre attacker men vara till men vid större.

Hantering av pågående attacker

Försök förstå vad som händer. tcpdump är din bästa vän.

  • Om attacken kommer från ett begränsat antal ipnummer/nät kan den begränsas genom filter på drabbad maskin / i lokal router / i gränsrouter / ISP (Sunet).

  • Om den har andra specifika kännetecken så kan man filtrera m.a.p. dessa, ev. utnyttjande 'ratelimit' för att inte i onödan döda legal trafik. Exempelvis så kan en udp-attack ha viss paketlängd etc. Icmp kan normalt 'ratelimit'as utan större problem.

  • Dokumentera attacken! Ofta varar den inte länge, men kan komma tillbaka. Logga trafiken, meddela exvis SUNet CERT och be om hjälp att meddela isp:er för deltagande maskiner. Ofta är dessa smittade av trojaner etc och kan rensas.

  • Om ni har stora problem, hör av er till SUNet CERT för diskussion om vad som kan göras.

IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt