Ensam är inte stark

2006-11-10

Oavsett hur stor arsenal av IT-säkerhetsprodukter du har och oavsett hur mycket tankemöda som ligger bakom, så finns det en risk som vi alla är utsatta för och som vi på egen hand inte kan skydda oss från och det är den distribuerade belastningsattacken (DDoS).

En belastningsattack under 2005 kunde utsätta måltavlan för ca 4Gbit/s och under 2006 har vi sett siffror kring 8Gbit/s. Givetvis kommer dessa siffror att öka, troligtvis exponentiellt då inte bara tillgänglig bandbredd ständigt ökar utan också på grund av att antalet noder (zombies) i ett BOT-net ökar. Miljoner noder i ett BOT-net är en realitet redan idag.

Det bästa botemedlet är givetvis att agera så nära källan som möjligt. Men, detta är än så länge ett teoretiskt resonemang och det skulle kräva ett samarbeta mellan världens alla Internetleverantörer av aldrig skådat slag. Därmed inte sagt att det inte kan bli en realitet på lång sikt.

På kort sikt är det din Internetoperatör som kan bidra till att mildra effekten av en distribuerad belastningsattack. Vi ser allt tydligare att Internetoperatören går från att enbart frakta IP-paket i snabbare och snabbare takt till att lyfta fram andra värden i den ökade konkurrensen. Ett av dessa värden är Internetoperatörens förmåga att addera skydd till den egna infrastrukturen som i slutändan kommer kunderna till del.

Givetvis är det av största vikt att operatörens egen utrustning inte utgör källan till oro, men jag upplever att det stadiet är passerat för det stora flertalet. Däremot upplever jag inte att alla har fungerande lösningar för att skydda sig mot belastningsattacker än mindre att man kommunicerat ut denna tjänst till sina kunder.

Det är viktigt att operatören väljer en lösning som inte får motsatt effekt. Om de exempelvis skulle filtrera bort trafik med din destinationsadress så är belastningsattacken mer än lyckad. Om det skulle filtrera bort trafik med källadress kan attacken också mycket väl vara lyckad. En intelligent belastningsattack ser givetvis till att använda källadresser på kunder, leverantörer, partners etcetera som kan utgöra din målgrupp. Operatörens målsättning måste vara att enbart stoppa otillåten trafik för att hindra att du som måltavla träffas, direkt eller indirekt.

Även om du köper en tjänst som bidrar till att mildra skadorna av en belastningsattack så bör du ändå hålla ett vakande öga på din infrastruktur. Du kommer givetvis att upptäcka när en belastningsattack inträffar, men ett vaket öga kan upptäcka avvikelser som tidigt indikerar vad som komma skall. Ju tidigare man kan agera desto mindre skada åsamkar belastningsattacken.

© 2006 Thomas Nilsson, Certezza AB