Sådan beskytter Zitcom sig mod DDoS-angreb

Skrevet af Jesper Stubkær d. i Infrastruktur

I dette indlæg kan du læse om, hvordan vi i Zitcom beskytter os selv og vores kunder mod DDoS-angreb

I Zitcom støder vi ofte på DDoS-angreb (Distributed Denial of Service), hvor angriberne forsøger at fylde vores dataforbindelse op med uønskede data, så webservere og andre systemer ikke kan besvare reelle forespørgsler i tide.

I princippet kan DDoS-angreb medføre 100% nedetid for alle vores systemer, som både vi og vores kunder er afhængige af for at drive forretning.

DDoS er derfor et område, som vi tager rigtig, rigtig alvorligt.

Vores DDoS-løsning bygger på mange års erfaring med angreb og er en blanding af avanceret hardware (som fx Fortinet Next Generation Firewall) og specialtilpasset software.

Vi har forsøgt at illustrere det i nedenstående grafik:

Zitcoms DDoS-løsning

Overvågning, detektion og afværgning

Overordnet set er vores DDoS-beredskab bygget op omkring overvågning, detektion og afværgning. Vi overvåger al trafik til og fra IP-adresser og servere. Vi detekterer, hvis der er trafik, som afviger fra normalen. Og vi afværger problemet på forskellige måder, alt efter hvilken trafiktype der er tale om:

  • Normal trafik (markeret med grønt i grafikken) får lov til at passere. Vores overvågningssystem vurderer, at det ikke udgør en fare, så det får lov til at passere hele vejen ind til Fortinet firewallen og dernæst ind i kundens miljø.

  • DDoS afværger – eller mitigerer – vi, og det gør vi på tre forskellige måder alt afhængig af angrebstypen.

Afværgning af DDoS-angreb

Hvis DDoS-angrebet befinder sig inden for visse grænseværdier, kan vi filtrere det. Det er det, vi kalder type 1 (markeret med gult). Vores overvågningssystem sender al trafik til og fra IP-adressen til et avanceret filter. Filtret opfanger den skadelige trafik og lader den ikke-skadelige trafik passere videre til firewallen, inden den når kundens miljø.

Vi kan også ekskludere meget specifik trafik som fx landetrafik (markeret med blåt), trafik fra et bestemt kontinent eller bestemte udbydere. Vi er altid meget påpasselige med at benytte os af denne mulighed, da vi potentielt set kan risikere at ekskludere godartet, forretningskritisk trafik til IP-adressen.

Hvis vores overvågningssystem vurderer, at DDoS-angrebet er så stort, at det overstiger grænseværdierne (et Type 2-angreb), er der som regel kun én udvej: Blackhole. Blackholing betyder i praksis, at den påvirkede server eller IP-adresse tages offline. Det gør vi kun i absolut nødstilfælde, fx hvis det er nødvendigt for at sikre normalt drift for de kunder, som deler miljø med den påvirkede IP-adresse eller server.

Underretning, opfølgning og tilpasning

For at holde antallet af DDoS-angreb mod vores netværk på et absolut minimum er det vigtigt, at vi hurtigst muligt identificerer kilden til angrebet.

Underretning af angribers ISP

Ved både Type 1 og 2 angreb sender vi en e-mail til den ISP (Internet Service Provider), som servicerer den angribende IP-adresse. E-mailen udsendes automatisk af vores overvågningssystem og kan fx se således ud:

Notifikation til ISP

Intern opfølgning og tilpasning af procedurer

Efter angrebet, og når IP-adressen igen er online, sender overvågningssystemet en automatisk genereret e-mail til Zitcoms driftsafdeling med en opsummering af angrebet. Driftsafdelingen bruger opsummeringen til at tilpasse interne procedurer, så vi og vores kunder er bedst muligt stillet over for fremtidige angreb.

Eksempel på en opsummering:

Opsummering af angreb

Hvis kunden har oplevet et udgående angreb, dvs. at kundens IP-adresser blevet brugt til at angribe andre servere eller IP-adresser i Zitcoms miljø, opfordrer vi altid kunden til at efterforske kilden til angrebet meget grundigt. Både for at sikre os, dem selv og de andre kunder i vores miljø.

Yderligere information

Dette var en kort gennemgang af vores DDoS-beredskab. Hvis du gerne vil vide mere om DDoS eller har andre spørgsmål til vores infrastruktur, er du altid velkommen til at kontakte os.

Du finder vores kontaktoplysninger her

Visualisering af DDoS-angreb

Hvis du gerne vil "se" et DDoS-angreb, har Google Ideas og Arbor Networks lavet en flot og informativ visualisering af daglige DDoS-angreb på verdensplan.

Den kan du se her

Hvis du vil "se" forskellige typer af angreb live, byder både Norse og Fortinet på rigtig flotte visualiseringer. Se dem her:

Fortinet Threat Map

Vil du vide mere?

Jesper Stubkær

Jesper Stubkær

Marketingkoordinator

Har du spørgsmål eller kommentarer til indholdet af dette blogindlæg, er du mere end velkommen til at sende mig en mail.

Send mail

Del dette indlæg:

Næste artikel