DDOS -attacker är ett återkommande problem som drabbar många företag. Senaste exemplet är attacken i lördags kväll som sänkte hemsidorna för flera svenska medier. Här berättar vi lite om vilka åtgärder vi vidtar för att minska risken för attacker och minimera verkningen av de attacker som sker.
Vem attackerar?
Tyvärr är det ofta svårt att få reda på vem som attackerar en server och varför detta görs, då servrarna hos oss delas av hundratals kunder. I vissa fall är attackerna enklare, man kan se vilken webbplats attacken riktas mot och då vidta åtgärder för att skydda just denna webbplatsen. Men oftast är attackerna mer avancerade och då går det inte att se vad det exakta målet för attacken är. Attackerna är också svåra att spåra då ett stort antal oskyldiga personers datorer och servrar utnyttjas i attacken som nästan alltid är världsomfattande.
Ett motiv som blivit allt vanligare är utpressning. Hackern kräver att få en viss summa betalning för att inte starta eller för att avbryta en DDOS -attack. Detta gäller bland annat attacken mot Swedbank i början av november. Att betala lönar sig sällan, då det inte finns något som hindrar hackern att kräva mer pengar i framtiden. Man blir inte heller skyddad mot att andra hackers också kräver pengar. Istället bör pengarna och tiden läggas på en infrastruktur som är bättre skyddad mot attacker.
Vem som låg bakom attacken mot svenska medier i lördags är fortfarande okänt, likaså varför attacken skedde. En stor del av trafiken verkar ha kommit från Ryssland, men det betyder bara att datorerna som användes i attacken befinner sig där. Den som står bakom attacken kan ha befunnit sig var som helst i världen.
Nedan berättar vi om en del av de skydd vi lagt till på sistone. Många av förändringarna kräver större ändringar i infrastrukturen vilket gör att de tar tid att genomföra.
Blockering av UDP
Protokoll som HTTP, IMAP och FTP har du antagligen hört talas om. Detta är internetprotokoll som motsvarar våra vanliga språk. För att två datorer som kommunicerar med varandra ska förstå varandra måste de tala samma språk. Datorn vet då exakt vad som är kommandon och vad de innebär, och vad som är den datan som ska överföras. Men dessa protokoll säger inget om hur själva datan ska skickas mellan datorerna. Där kommer istället TCP och UDP in i bilden. Detta är två protokoll som definierar exakt hur datan ska överföras. Dessa protokoll ser till att datan når fram till rätt mottagare, att datan kommer fram i rätt ordning och att data inte förändras på vägen.
TCP används för de flesta tjänster på Binero, bland annat hemsidor, databas och e-post. UDP används istället för tjänster där det är viktigt att data levereras snabbt och det inte gör så mycket om viss data skulle försvinna på vägen. Detta gäller till exempel för streaming där det inte är något större bekymmer om små störningar skulle uppstå, bara dataöverföringen fortsätter och är snabb. UDP används för Binero för DNS samt för NTP som är ett protokoll för att automatiskt ställa in rätt tid på servrar. Tyvärr används UDP i väldigt stor grad även vid DDOS-attacker. Även om de flesta av våra servrar blockerar UDP-trafik så riskerar det vid en attack bli så mycket trafik att våra linor blir fulla och legitim trafik inte når fram. För att lösa detta har vi på senare tid flyttat om bland våra servrar så att vi kan blockera UDP-trafik direkt hos våra internetleverantörer istället för på våra egna servrar. Även om vi har kvar vissa servrar som måste använda UDP-trafik så kommer nu en stor del av attackerna som använder UDP blockeras automatiskt och utan att vi ens märker att en attack sker.
Större kapacitet för trafik
Binero har sedan tidigare två internetleverantörer som är helt oberoende. Om ena leverantören skulle få problem går trafiken automatiskt över till den andra, men i normalfallet används båda internetleverantörerna samtidigt. För att klara att köra via endast en internetleverantör vid störningar har vi haft en överkapacitet jämfört med hur vår trafik normalt är. Vid DDOS-attacker kan det dock närma sig enorma nivåer med datatrafik. Den största attacken som någonsin noterats var på ungefär 400 gigabit per sekund. Vid en sådan attack är i princip alla företag chanslösa då det inte är ekonomiskt att investera i en sådan kapacitet för att skydda sig mot attacker. De flesta attacker är dock mycket mindre och för att skydda oss bättre mot dem har vi nu utökat vår kapacitet rejält.
BGP Communities
Ytterligare en förkortning för ett protokoll. BGP står för “Border Gateway Protocol” och används för att ange hur trafik ska styras mellan olika leverantörer. Binero har som sagt två internetleveratörer. Dessa har i sin tur avtal med andra internetleverantörer, som i det här sammanhanget även kallas communities. På så sätt binds internet ihop till ett enda stort nätverk där det alltid finns flera möjliga vägar mellan två datorer, oavsett var i världen de befinner sig.
Vid DDOS -attacker utnyttjas hundratusentals datorer spridda runt om i världen. Vid attacker sticker ofta asiatiska länder ut genom att stå för en stor andel av trafiken. Detta beror på en utbyggd infrastruktur i kombination med att många datorer inte är patchade och kan utnyttas av hackers. Då vi är ett webbhotell med främst svenska kunder kommer vi vid en attack se att trafiken från vissa internetleverantörer nästan enbart beror på attacken, medan andra internetleverantörer har både legitim trafik och trafik som beror på attacken. Med BGP kan vi med en enkel knapptryckning tillfällligt blockera trafik från vissa internetleverantörer. På så sätt kan stora delar av attacken begränsas utan att vanliga besökare till webbplatser hos oss blir lidande.
Frid och fröjd?
Innebär då det här att vi är helt skyddade mot DDOS -attacker? Tyvärr är svaret nej, lika lite som något annat företag är helt skyddat. I slutändan handlar det främst om vem som har mest resurser, den som attackerar eller den som blir attackerad. Är attacken tillräckligt stor så riskerar vi att få driftstörningar eller blockera trafik som också är legitim. Vi fortsätter att arbeta hårt på att skydda oss mot attacker och att följa utvecklingen av bättre skydd.
