Millioner af pc'er angriber One.com: 4.000 hostingkunder sendt i sort
Et yderst potent botnet har siden mandag formiddag lagt mange tusinde kunder hos webhotellet One.com ned. Et DDos-angreb af hidtil usete dimensioner var rettet mod en af webhotellets ip-numre, hvilket fik omkring 4.000 kunder til at gå i sort mandag.
»Vi har splittet kunderne op på forskellige ip-numre, og i takt med, at vi splitter kunderne op, bliver antallet af ramte kunder minimeret. Samtidig flytter vi dem rundt på systemerne for at gøre det svært for angriberen,« forklarer talmand hos One.com Thomas Darré Medard Frederiksen.
Han bekræfter, at angrebet var ekstremt i størrelse.
Således var der ifølge talsmanden mange millioner pc'er involveret, og i modsætning til tidligere angreb var de såkaldte zombier involveret i angrebet fordelt over hele kloden.
»I nat tog angrebet til i styrke, til et niveau vi ikke har set før. Styrken er så voldsom ? og stadig mod det samme ip-nummer ? at store dele af vores systemer bliver ustabile i op mod halvanden times tid. Vi beslutter at null-route adressen, så alle pakker bliver afvist blankt. Det tager lidt tid at lave, og kundernes systemer virker ikke i den tid. Det er vi naturligvis meget kede af,« siger Thomas Darré Medard Frederiksen.
I løbet af i dag tirsdag har størstedelen af One.coms 800.000 kunder således kunnet mærke de store skvulp i systemerne, omrokeringerne har betyder, for eksempel i form af nedetid for deres web site eller forsinkelser i email-systemerne.
»Men alle vores systemer er nu oppe at køre igen,« forsikrer Thomas Darré Medard Frederiksen.
Ifølge talmanden oplever one.com DDoS-angreb flere gange om måneden, dog ikke i samme kaliber som dette. Det er endnu ikke lykkedes at opspore, hvilken kunde der har været mål for angrebet.
Kommentarer (10)
Det kunne være interessant at vide bare lidt omkring hvad det var for et angreb.
- Et DDoS angreb er et meget vidt begreb!
Jeg forstår heller ikke helt hvordan det kan gå ud over 4.000 kunder, når nu One.com spår at have 800.000.
- Er det blot 4.000 kunder på én server?
-
0 -
0
Jeg går vel ud fra at der er nogen der har haft en hjemmeside hos One, og at de dernæst har sagt noget til den (helt) forkerte person over IRC eller gjort noget andet de ikke burde, da jeg ikke går ud fra at det er pga. konkurrence i det her tilfælde.. (Det kan det dog, sagtens skyldes.)
Det er set før at sådanne angreb kan opstå, pga. "Internet Tough Guy" syndromet som opstår tilfældigt hos nogle mennesker, som tror at de kan opføre sig som det passer dem på Internettet.. Det har dog den konsekvens at ting som ovenstående, kan opstå.
Jeg synes dog det er ærgerligt at personen bag de her angreb, vælger at angribe hele serveren hvor mange andre personer også bliver ramt, i stedet for kun den enkelte person.
-
0
-
0
Selvfølgelig er det 4000 kunder på en server. Det er derfor de ikke kan spore hvilken specifik kunde der er målet. De ved kun at det må være en af de 4000 kunder.
IPv6 ville løse problemet idet man kan give hver enkelt kunde en unik IP adresse.
-
0
-
0
Jeg tvivler nu lidt på det bare er en der skulle vise sig... Kender folk der har kontrol over botnets på 100 - 10000 maskiner, som passer til din beskrivelse af en person der kunne blive pisset af, men jeg tvivler seriøst på at nogle af den slags mennesker skulle sidde med kontrol over flere millioner af pc'er over hele kloden.
Det kunne selvfølgelig godt lade sig gøre, men det lyder mere som noget professionelt det her. Desuden så ville man da være godt dum hvis man gøre det når ens botnet ville kunne udbydes for rigtig mange penge ellers? (når det er den størrelse)
-
0
-
0
totalt enig Henrik. det er trods alt en pæn stor risiko man løber ved at få en mio noder kastet mod et enkelt segment på en gang. den slags plejer som regel kun at være penge eller politisk orienteret. Ikke nok med at det kræver en pæn omgang organisation, og dermed også penge bagved, men det skaber også ret hurtigt en alvorlig omtale, så det er ikke noget man bare bruger løs af. Så det er helt sikkert gjort fordi der nok ville komme penge ud af det i den anden ende.
Det kunne også tænkes at sagen var at det var nogle få hundrede maskiner der bankede på med flere mio hits. taget version2's historik i betragtning (eller alle danske IT-medier egentlig!) så er det nok snarere den sidste der er sandsynlig.
Desuden er det nok ikke lige kun på 1 server de 4000 sider ligger. med mindre det er nogle ultrasmå sider så vil det alligevel kræve en seriøs mængde HW at kunne servere 4000 domæner på en enkelt server. Derimod bliver IP'en routet ind på et domæneområde hvor der sagtens kan være et helt cluster af servere. og de vil selvfølgelig alle blive influeret når det er den ydre ip som de alle hører under.
-
0
-
0
Du kan sikkert også have ret hvad angår Versions to historik. Men jeg tvivler dog voldsomt på at få hundrede maskiner ville kunne give One.com problemer.
Så lige et lille sidespring. Gider folk godt lade være med at stemme indlæg ned UDEN at deltage i debatten?
Jeg har intet imod folk ikke er enige med hinanden, men det der virker barnligt...
-
0
-
0
Du kan sikkert også have ret hvad angår Versions to historik. Men jeg tvivler dog voldsomt på at få hundrede maskiner ville kunne give One.com problemer.
Så lige et lille sidespring. Gider folk godt lade være med at stemme indlæg ned UDEN at deltage i debatten?
Jeg har intet imod folk ikke er enige med hinanden, men det der virker barnligt...
-
0
-
0
Jeg kender ikke noget til one.com's setup. Selvom jeg gjorde, ville jeg ikke skrive noget om det.
"Få hundrede maskiner" kan sikkert sagtens ligge de fleste hosting providere ned.
Det er ikke kun private desktop maskiner som er med i botnets og DDoS angreb.
På verdensplan er der mange servere som drives af folk som ikke har styr på deres sikkerhed og hvad deres server står og laver.
Deres ISP'er plejer dog at være hurtige med at få klippet forbindelsen til en sådan maskine.
Afhængigt af hvordan angrebet udføres, kræver det nødvendigvis ikke meget båndbredde.
Typisk drejer det sig om små pakker, eksempelvis "UDP flood" som overbelaster core eller edge routere med overhead/pps.
Og her er adresserne også spoofet, hvorfor det er pointless at prøve og danne et mønster af afsender adresser.
Et gæt vil være, at det er det, denne hændelse bygger på.
-
0
-
0
Uden at sige noget fortroligt om min tidligere arbejdsgiver Surftowns setup, tror jeg godt jeg kan afsløre, at når man sælger webhoteller til 9 kr om måneden, så er der en pæn andel af disse, der aldrig kommer til at indeholde andet end fx en håndfuld familiebilleder, og derfor ikke genererer trafik eller load i nogen nævneværdig grad.
Så det skulle være relativt uproblematisk for One.com at have 4000 af dem liggende på en enkelt server.
-
0
-
0
