Attacker även inifrån

Fast ett webbhotell kan även råka ut för andra former av angrepp. En dos-attack kan inte bara komma från externa nät som internet, något alla webbhotell och liknande nätbaserade tjänsteverksamheter måste ta i beaktande, poängterar han.

– Det är idag relativt enkelt för en kund att skapa perl- och php-skript som kör igång datatrafik i en serverstruktur som till exempel den hos ett webbhotell. Dessutom kan en webbhotellkund råka få ett sådant skript uppladdat hos sig via en webapplikations uppladdningsfunktion och som sätter igång en attack mot en extern server.

Så hur skyddar man sig mot det?

– Som tjänsteleverantör vill man inte gärna begränsa kundens valfrihet, så det är i princip två saker man kan göra. En är inkapsling – man kapslar in varje server. Det andra är en stenhård övervakning, när man ser något misstänkt i trafiken fångar man upp det snabbt med motåtgärder.

Hur kan det gå till i praktiken?

– Man har helt enkelt en granulär och detaljerad övervakning av nätverket och varje enskild server. Den typen av lösningar finns ju idag och är något vi kan rekommendera. Det ger inte bara koll på vad som händer i infrastrukturen utan kortar även ner åtgärdstiden. En ddos-attack till exempel, vill man gärna åtgärda så snabbt som möjligt eftersom det kan drabba så pass hårt.

Brandväggar är också ett bra grundskydd naturligtvis, tillägger Johan Kummeneje. Men det är viktigt att tid ägnas åt genomtänkta inställningar som är anpassade för den miljö brandväggen ska skydda.

– Brandväggar måste vara rätt konfigurerade. Detta oavsett vilken brandvägg det rör sig om. För mindre verksamheter kan ip-tables på en linux server räcka ganska långt till exempel, den har funktioner för att blockera portar och räkna paket. Och slänga bort paket. Behoven är förstås olika för olika verksamheter, men A och O är att ha en rätt konfigurerad brandvägg, då har man gjort grundjobbet.

Vad är det som gör ddos-attacker så effektiva?

– Brandväggen hanterar paket om 1 500 byte hela tiden, det är på grund av ip-standarden. Det innebär att man har en begränsad mängd paket på en gigabit-lina. Om man då fyller upp en sådan anslutning med det antalet paket, som innehåller en byte data, så stoppar man annan trafik. Fast man har ju fortfarande bara skickat en byte, så från angriparens håll så krävs det inte så mycket för att mätta en lina på en gigabit.

Något tips på hur man enklast upptäcker en attack?

– Kan man övervaka vissa nyckelvärden i brandväggen kan man snabbt upptäcka ddos. En ddos-attack görs oftast över udp-protokollet. Och det rör sig ofta om väldigt små paket. Vi kan få paket som är en byte stora till exempel, så det är ett kännetecken.

Grundtipsen är alltså att sprida ut dns-noderna så att inte en nods överbelastning blockerar servrarna och se till att ha rätt konfigurerade brandväggar där vissa nyckelvärden övervakas. Fast anycast-tjänsten är inte nödvändigtvis något som man kan sätta igång med hursomhelst.

– Det kostar förstås att ha tjänsten och ger även mer administrativt arbete. Det är därför små verksamheter vanligen börjar med en egen zonfil för sin dns. Det är relativt enkelt att komma igång på det sättet. Det här är ju främst för större lösningar och vi är en ganska stor verksamhet idag med tiotusentals kunder, avslutar Johan Kummeneje.