Fenomenet med överbelastningsattacker (ddos) är inte nytt, men är samtidigt svårt att skydda sig mot. Webhotellet FS-Data har tidigare redovisat sina erfarenheter och hur nya rutiner förbättrat svarstiderna (läs mer: Så biffar webbhotellet upp ddos-försvaret).
I denna ddos-uppföljande artikel frågar vi också webbhotellet Binero om deras erfarenheter, då just webbhotell har en tendens att bli utsatta genom de stora antalet sajter de är värdar för. Binero grundades 2001 och har idag hundratals webbservrar, ett stort antal mejlservrar och databasservrar.
Två av de vanligaste överbelastningsattacker som ett webbhotell blir utsatta för rör angrepp mot dns samt knepet att skicka många små udp-paket mot slumpmässiga portar. Fast alla attacker som hindrar användare från att använda en tjänst är en form av ddos.
Johan Kummeneje, teknisk chef på Binero, berättar om de senaste åtgärderna för bättre it-säkerhet, som bland annat innefattar ett utnyttjande av nätverksprinciperna bakom anycast.
– Anycast är vi först med i Sverige vad jag vet. Vi har en amerikansk partner som tillhandahåller våra namnservrar som anycast-tjänster. Det fungerar så att den server som är närmast svarar. Om du exempelvis sitter i USA med din klientanslutning så svarar en amerikansk dns-nod för webbhotellet, istället för en europeisk.
Fördelen med detta, förklarar Johan Kummeneje vidare, är att det ger ett redundant skydd. En ddos-attack mot dns riskerar inte att lika enkelt blockera åtkomsten till den bakomliggande serverstrukturen.
– Om en angripare gör en ddos-attack mot våra dns-noder och sitter i USA, ja då kommer angriparen att attackera den amerikanska noden. Samma ip-adress för dns-tjänsten i exempelvis Europa berörs inte.
Binero har i dagsläget fyra anycast-nät med namnservrar. Alla måste slås ut för att attacken ska fungera.
– Men vår anycast-partner uppger sig kunna blockera bort detta, så i praktiken är vi tämligen säkra mot även omfattande attacker. Dessutom har vi en egen namnserver som vi själv handhar. Den är också lastbalanserad för att stora trafikvolymer kan hanteras. Om hela anycast-tjänsten mot förmodan skulle slås ut, klarar vi oss ändå.
Webbhotellet arbetar också med flera andra åtgärder för att skydda sig mot generella ddos-attacker. Exempelvis används routrar och brandväggar med funktioner för spärra bort mindre och enklare attacker, uppger Johan Kummeneje. Binero har även ett avtal med sina internetleverantörer om spårning och avstängning av attacker genom bland annat nullrouting av angrepp.