Praktiska opinionsyttringar tar sig allt större krafter
och har redan passerat gränsen där de kan anses vara
samhällskritiska. Reaktionen från vad som sannolikt var grannen i
öster vid flytten av bronsstatyn i Estland kan anses vara en
milstolpe i mer än en bemärkelse. Reaktionerna i kölvattnet av
rondellhundar, Piratebay rättegången och nu senast anklagelserna
mot en av Wikileaks grundare var väntade. Väntat är också alla
kreativa lösningsmakare som ånyo trollar fram något som drar
parallellerna till Pandoras ask. Efter en enkel webbsökning på
"DDoS protection" förstår du vad jag menar.
En distribuerad belastningsattack är ingen enkel utmaning.
Tvärtom, det är en riktigt svår utmaning, kanske en av de svåraste,
och det gäller att inse det från början.
Estlands kapacitet med omvärlden vid det aktuella tillfället var
ca 700 Mb/s. Att beställa en "molntjänst" som gör förbindelsen
obrukbar under ett dygn är som att beställa vilken tjänst som helst
och prislappen är i storleksordningen som en begagnad buss. Estland
var givetvis inte beredda på detta, men de hade två riktigt bra
fördelar. Dels hade de, till skillnad från exempelvis Sverige vid
den tiden, bara en myndighet som hade ett utpekat samordningsansvar
vid händelser likt detta, dels så var det en internationell
IT-säkerhetskonferens i Estland vid det aktuella tillfället. Detta
sammantaget gjorde det möjligt att använda flera av
konferensdeltagarnas kontaktnät för att strypa flödet närmare
källorna.
Erfarenheterna talar sitt tydliga språk. En belastningsattack
bemästrar man inte själv och ingen skall tro att det finns någon
feature till webbservern, brandväggen eller IPS'en som löser detta.
Samspelet med operatören, operatörens egen förmåga och operatörens
samspel med andra operatörer är helt avgörande.
Samspelet i Estland skedde helt händelsestyrt och manuellt med
stora inslag av tur och skicklighet. Sannolikheten att kunna
efterlikna den är ringa. Erfarenheterna från Estland som nu har ett
antal år på nacken, tillsammans med flertalet erfarenheter från
likartade händelser därefter, gör att det börjar utkristallisera
sig en best practice på området.
Lärdomen, om det inte redan framgått, är att till en rimlig gräns
se om sitt hus. Det gäller att uppnå en nivå där man vågar yppa
ordet robust. Det gäller förövrigt alla, oavsett om man kan antas
ligga i en riskzon eller ej. Nästa steg är att nagelfara
operatörerna och sedan tillsammans med de operatörer som kan antas
ha de rätta förmågorna etablera en nödlinje.
Det senare kräver sin förklaring. Huvudstrategin vid bekämpning av
en belastningsattack är att gräva sig fram till källorna och täppa
till flödet så nära källan som möjligt och det så snabbt som
möjligt. Operatören kan oftast fatta grova beslut utan din hjälp,
men skall du få en effektiv lösning behöver operatören hjälp i sitt
beslutsfattande. Detta kan givetvis ske manuellt, men vis av
erfarenhet så inträffar de flesta incidenter vid ett tillfälle där
de manuella rutinerna lämnar övrigt att önska.
Även om arbetet med att förhindra DDoS-attacker är i sin linda, så
går det att urskönja lösningar där samspelet mellan dig och
operatören kan automatiseras. Den utrustning som normalt återfinns,
främst som skydd mot utnyttjande av kända sårbarheter, har ibland
även förmågan att upptäcka andra former av avvikelser. I fallet med
belastningsattacker är de som tidigare sagts dessvärre chanslösa.
Däremot kan de skicka en signal till operatören som utifrån detta
kan påbörja sitt nedsläckningsarbete. Ju tidigare arbetet kan
påbörjas desto större chans är det att skadan av
belastningsattacken kan minimeras.
Lagarbetet är nyckeln till framgång och dessvärre är det den enda
nyckeln även om finansiärerna till en samling coola produkter och
tjänster lever i en helt annan tro.
© 2011 Thomas Nilsson, Certezza AB
