Efter svensk DDoS-kaos: Sådan beskytter du din hjemmeside mod DDoS
Flere svenske offentlige hjemmesider blev fredag eftermiddag ramt af angreb fra hackergruppen Anonymous. Hjemmesiderne angribes med et såkaldt DDoS-angreb, Distributed Denial of Service, som kort fortalt går ud på, at en række computere og servere samtidigt besøger en hjemmeside og dermed overbelaster den.
Overbelastningen betyder, at man ikke kan tilgå hjemmesiden, men det er altså ikke ensbetydende med, at der er fri adgang for bagmændene til de data, der ligger på serverne. Der er altså umiddelbart ingen grund til at tro, at Anonymous får data fra det svenske sikkerhedspoliti, bare fordi hjemmesiden er utilgængelig.
Version2-bloggeren Henrik Kramshøj har tidligere skrevet på Version2 om DDoS i indlægget ”Kunsten at afvikle DDoS 101”. Her beskriver han i detaljer hvad man kan gøre for at ruste sig mod DDoS-angreb.
Hans hovedpointe er klar: DDoS-beskyttelse er ikke simpelt. Men der er alligevel en række ting, man kan gøre, for at ruste sig mod DDoS-angreb. Blandt andet skal man optimere sin side, have den nyeste software, og have hardware nok til at kunne klare en belastning.
En af de nyere og mere kendte DDoS-angreb i Danmark var angrebet på fagforeningen 3F i forbindelse med konflikten med Restaurant Vejlegården. Her valgte 3F efter angrebet at flytte hjemmesiden til Amazons skytjeneste, AWS, der tilbyder væsentlig mere hardware, end 3F selv har til rådighed.
Men eftersom DDoS-angreb kan komme sende så meget trafik, at en meget høj kapacitet er nødvendig, kan det være meget svært overhovedet at forhindre et angreb. Derfor har Henrik Kramshøj en række anbefalinger til, hvad man som hjemmesideejer kan gøre, når man bliver ramt af DDoS.
Man kan blandt andet forsøge at blokere for bestemte IP-adresser, da mange af forespørgslerne ofte kommer fra enkelte IP-adresser. Herudover kan man sætte flere servere i spil ved eksempelvis at benytte sig af virtualiserede servere. Er der stadig problemer, kan man lukke for dele af hjemmesiden og skifte forsiden ud til en simpel side, der ikke kræver mange kald og tung trafik.
Læs hele Henrik Kramshøjs indlæg om DDoS, og hvordan man bedst håndterer det, i den fulde længde og med masser af tekniske detaljer.
Kommentarer (5)
Hvis man vil have en hjemmeside der oppe hele tiden, så kør den på IPv6.
Det værste angreb man kan få, er fx et ICMP-flood attack. Kort fortalt sender man en datapakke med forkert afsender. Hvis jeg sender en falsk ping-pakke til version2.dk med riksbanken.se som afsender, så vil version2.dk sende et retursvar til riksbanken.se. Ved så at sende en hel masse falske pakker afsted til forskellige servere, og alle med riksbanken.se som falsk afsender, så bliver riksbanken.se flooded og siden syntes nede.
IPv6 kan her gøre to ting:
IPv6 skal have korrekt afsender med hele vejen. Så hvis jeg sender en ping til v2.dk med riksbanken.se som afsender, så skal alle routere fra mig til v2 afvise pakken, fordi de ved at riksbanken ikke kommer der fra. Så hvis jeg sender IPv6 pakken hjemmefra, skal første router i kæden droppe ping-pakken.
Fordi IPv6 overhovedet ikke er udbredt og nærmest ingen supportere det, så kan alle dem der har IPv6, tilgå servere der har IPv6. (dette punkt var delvist ment som et morsomt indslag)
I tilfælde af en katastrofe, er der nogle hjemmesider der ville blive opsøgt mere end andre. Anonymous tror at en af de væsentlige hjemmesider er SÄPO, men den er sådan set ret ligegyldig, for den side besøger ingen når det rigtigt gælder. Det folk vil få mest brug for, er noget med at finde telefonnumre på diverse tjenester, fx De Gule Sider og Krak, og for dem begge gælder at de ikke har en IPv6 adresse. Det kunne man så sige er et problem, men så læs lige pkt 2 igen (altså: du som kun har IPv4, kan ikke få adgang til DGS og Krak, kunne det være et problem når det gælder?).
Så hvis du vil beskytte dig imod DDOS-angreb, så få en IPv6 adresse. Det hjælper lidt på det.
-
3 -
1
En stor fordel med IPv6 og evt. DDOS angreb (ikke at jeg tror nogle prøver det) er at det er svært at være anonym med en IPv6 adresse..
-
1
-
2
I tager begge fejl :-).
IPv6 er ikke anderledes end IPv4 når det kommer til routing. Almindelige brugere har som regel ikke adgang til at sende med "falsk" afsender, hverken med v4 eller v6. Men servere på ISP niveau har - både på v4 og v6. Ingen forskel der. Man bruger den samme protokol til routing (BGP).
Med hensyn til at være anonym så er man præcis ligeså meget eller ligeså lidt anonym på begge netværk. Man kan udfra din IP-adresse umiddelbart se hvilken ISP du har og derfra har myndighederne adgang til terrorloggen der fortælle hvem du er. Ja, logningsbekendtgørelsen gælder også for IPv6.
-
6
-
0
Hvad nytter det at du er online på IPv6 når dine kunder kun kan nå dig via IPv4?
Og derudover så passer det ikke, de bruger hverken ICMP eller Spoofing ... hele pointen er angrebet simulerer almindelig trafik, bare rigtig meget af det, og dermed er det også utroligt svært at blokere fordi du samtidig vil komme til at blokere for legitim trafik.
-
3
-
0
Der er masser af angrebstyper man ikke selv kan klare, hvor man er nødt til at gå til sin internetleverandør, og få ham til at lukke. Det er de angreb hvor det er trafikken der udgør angrebet. Der findes metoder der forstærker upstream med en faktor 50-70.
Så en ond person på en 30/30 Mbit WAOO forbindelse kan generere omkring 1-1.5 Gbit upstream trafik uden stort besvær. Selvom man lukker for det i sin egen firewall, så er det for sent, for båndbredden er "spist".
Jeg har set/oplevet denne type angreb, dog typisk kun af relativ få minutters varighed. Det kan kun stoppes hvis internetleverandøren har nok båndbredde til at det ikke er et problem hos ham, ellers må han få hjælp hos sin leverandør.
-
1
-
0
Tilføj kommentar
