Vad innebär en överbelastningsattack - och hur kan man skydda sig?

DDoS-attack, även kallat överbelastningsattack, står för distributed-denial-of-service. En DDoS-attack har i regel som mål att överbelasta en webbplats eller en server, och på så sätt göra den tillfälligt otillgänglig för legitima användare. Med hjälp av ett botnet, bestående av upp till miljontals enheter, kan angriparen skapa ett stort antal anrop till ett datasystem. Anropen sker simultant, vilket medför att tjänsten eller systemet som angrips överbelastas och låser sig. 

Upptäckten av en DDoS-attack kan ske genom att åtkomst till Internet känns segt eller inte fungerar över huvud taget alternativt att vissa system inte går att nå från egna eller externa nät. I vissa fall är det externa parter som upptäcker att till exempel webbservern inte svarar.

DDoS är en typ av attack som är mycket svår att skydda sig emot men det finns ett antal steg som kan vidtas för att mildra en eventuell attack. Det mest effektiva sättet att hantera hotet från DDoS-attacker är att arbeta förebyggande.

Det är sällan en organisation kan avhjälpa en DDoS-attack helt på egen hand. För att avbryta eller begränsa en attack så behövs det ofta hjälp av andra organisationer. I vissa fall kan det också krävas hjälp att starta om vissa system som utsatts för attacken, till exempel brandväggar. Den viktigaste länken vid ett allvarligt fall av DDoS är organisationens ISP (internetleverantör) som är den första länken till Internet, där ett visst skydd och motmedel kan etableras. Tjänsteleverantörer, privata aktörer, CERT: ar och Polismyndigheten kan också vara till hjälp vid en eventuell attack varför god kommunikation och bra kontakter med dessa är en viktig förutsättning för att underlätta hanteringen av en DDoS-incident.

• Identifiera eventuella affärskritiska system (som är beroende av internetuppkoppling) där tillfälliga störningar i tillgängligheten skadar verksamheten. Se till att du har en bandbredd där som överstiger normal belastning med god marginal - Ökad bandbredd ger bättre skydd.

• Lyft frågan med din ISP och ta reda på vilket skydd de erbjuder. Gör om möjligt en plan tillsammans om det exempelvis finns vissa affärskritiska system som ska prioriteras. Fråga om de till exempel kan begränsa åtkomsten till affärskritiska system från IP-adresser i regioner som ni inte gör affärer med, vid DDoS-attacker.

• Se till så att det finns en färdig plan för hur man ska agera med tydlig ansvarsfördelning vid en eventuell attack. Se även till så att det finns färdiga kontaktvägar.

• Har man affärskritiska system som kräver hög tillgänglighet, kan olika DDoS-tjänster som Akamai, Cloudflare eller svenska Baffin Bay Networks erbjuda en avsevärd förbättring av skyddet. De har också expertis som kan hjälpa dig om du är utsatt för en attack.

• Ordentliga brandväggsloggar är nyckeln när ett incident respons team ska försöka begränsa effekten av en långdragen attack. Det kräver dock att man själv har personal på plats eller hyr in personal som kan använda loggarna.

• Se också till att vara tydlig i kommunikationen utåt om man utsätts för en svårare DDoS attack med återkommande störningar över flera dagar. En DDoS attack är visserligen otrevlig, men den är egentligen inte något allvarligt hot, eftersom inga system på insidan hotas. Därför är det ofta bättre att tydligt gå ut och förklara, t.ex. på Twitter att man är utsatt för en DDoS attack, men att ingenting är skadat, än att vara tyst och riskera att kunder tror att något värre har inträffat.

För mer information kring hur man ökar sitt skydd mot DDoS attacker.