Praktiska opinionsyttringar tar sig allt större krafter och har redan passerat gränsen där de kan anses vara samhällskritiska. Reaktionen från vad som sannolikt var grannen i öster vid flytten av bronsstatyn i Estland kan anses vara en milstolpe i mer än en bemärkelse. Reaktionerna i kölvattnet av rondellhundar, Piratebay rättegången och nu senast anklagelserna mot en av Wikileaks grundare var väntade. Väntat är också alla kreativa lösningsmakare som ånyo trollar fram något som drar parallellerna till Pandoras ask. Efter en enkel webbsökning på “DDoS protection” förstår du vad jag menar.
En distribuerad belastningsattack är ingen enkel utmaning. Tvärtom, det är en riktigt svår utmaning, kanske en av de svåraste, och det gäller att inse det från början.
Estlands kapacitet med omvärlden vid det aktuella tillfället var ca 700 Mb/s. Att beställa en “molntjänst” som gör förbindelsen obrukbar under ett dygn är som att beställa vilken tjänst som helst och prislappen är i storleksordningen som en begagnad buss. Estland var givetvis inte beredda på detta, men de hade två riktigt bra fördelar. Dels hade de, till skillnad från exempelvis Sverige vid den tiden, bara en myndighet som hade ett utpekat samordningsansvar vid händelser likt detta, dels så var det en internationell IT-säkerhetskonferens i Estland vid det aktuella tillfället. Detta sammantaget gjorde det möjligt att använda flera av konferensdeltagarnas kontaktnät för att strypa flödet närmare källorna.
Erfarenheterna talar sitt tydliga språk. En belastningsattack bemästrar man inte själv och ingen skall tro att det finns någon feature till webbservern, brandväggen eller IPS’en som löser detta. Samspelet med operatören, operatörens egen förmåga och operatörens samspel med andra operatörer är helt avgörande.
Samspelet i Estland skedde helt händelsestyrt och manuellt med stora inslag av tur och skicklighet. Sannolikheten att kunna efterlikna den är ringa. Erfarenheterna från Estland som nu har ett antal år på nacken, tillsammans med flertalet erfarenheter från likartade händelser därefter, gör att det börjar utkristallisera sig en best practice på området.
Lärdomen, om det inte redan framgått, är att till en rimlig gräns se om sitt hus. Det gäller att uppnå en nivå där man vågar yppa ordet robust. Det gäller förövrigt alla, oavsett om man kan antas ligga i en riskzon eller ej. Nästa steg är att nagelfara operatörerna och sedan tillsammans med de operatörer som kan antas ha de rätta förmågorna etablera en nödlinje.
Det senare kräver sin förklaring. Huvudstrategin vid bekämpning av en belastningsattack är att gräva sig fram till källorna och täppa till flödet så nära källan som möjligt och det så snabbt som möjligt. Operatören kan oftast fatta grova beslut utan din hjälp, men skall du få en effektiv lösning behöver operatören hjälp i sitt beslutsfattande. Detta kan givetvis ske manuellt, men vis av erfarenhet så inträffar de flesta incidenter vid ett tillfälle där de manuella rutinerna lämnar övrigt att önska.
Även om arbetet med att förhindra DDoS-attacker är i sin linda, så går det att urskönja lösningar där samspelet mellan dig och operatören kan automatiseras. Den utrustning som normalt återfinns, främst som skydd mot utnyttjande av kända sårbarheter, har ibland även förmågan att upptäcka andra former av avvikelser. I fallet med belastningsattacker är de som tidigare sagts dessvärre chanslösa. Däremot kan de skicka en signal till operatören som utifrån detta kan påbörja sitt nedsläckningsarbete. Ju tidigare arbetet kan påbörjas desto större chans är det att skadan av belastningsattacken kan minimeras.
Lagarbetet är nyckeln till framgång och dessvärre är det den enda nyckeln även om finansiärerna till en samling coola produkter och tjänster lever i en helt annan tro.
© 2011 Thomas Nilsson, Certezza AB
Thomas Nilsson
