200.000 samtidige forespørgsler sendte KL.dk til tælling

Illustration: Virrage Images/Bigstock
Da KL's hjemmeside blev udsat for et DDoS-angreb, der lagde siden ned i flere timer, var der ikke blot tale om en enkelt utilfreds hacker.

KL.dk blev i går aftes udsat for et DDoS-angreb, der i fire-fem timer gjorde det umuligt at komme ind på hjemmesiden. Og selvom der ikke var tale om et kæmpestort angreb, var personerne bag alligevel godt organiserede.

Det vurderer it-driftslederen hos KL, Rune Scheye Koop.

»Jeg vil betegne det som et middelstort angreb,« siger Rune Scheye Koop til Version2.

»Angrebet kom fra flere forskellige servere. Da det var værst, var der omkring 200.000 samtidige requests, og vores system kan holde til 8-9.000. Men det var kun serveren, der ikke kunne følge med. Vores firewall holdt hele vejen igennem, så vores andre systemer blev ikke påvirket,« siger Rune Scheye Koop til Version2.

Serveren holdt ikke

En gruppe, der hævder at være en del af den internationale hackerbevægelse Anonymous, havde på forhånd på Youtube varslet et angreb mod KL, der lige nu er part i den aktuelle konflikt med Danmarks Lærerforening.

Rune Scheye Koop kan dog ikke med sikkerhed sige, hvem der står bag angrebet.

Det var langtfra hele systemet, der mandag aften blev lagt ned ved angrebet. KL har ifølge Rune Scheye Koop et temmelig højt sikkerhedsniveau i forvejen, da de jo ofte er part i ophedede politiske diskussioner.

Angrebet påvirkede KL.dk og meretidsammen.dk og lagde siderne ned omkring klokken 19. Klokken 23 var der ved at være hul igennem igen, og til midnat kørte siden normalt igen.

Der var lidt knas med sitet igen tirsdag morgen, men det varede ikke mere end ti minutter.

»Nu har hackerne jo øget bevågenheden, så nu kommer alle idioterne. De skal også lige se, om de kan komme ind, og det kan meget nemt være det, der skete her til morgen,« siger Rune Scheye Koop og henviser til den bølge af angreb, der kan følge efter et DDoS-angreb.

Fik dæmmet op for problemet

Hele it-driftsafdelingen hos KL arbejdede på højtryk i går aftes for at få hjemmesiden op at køre igen, fortæller it-driftslederen. Men en ting er et DDoS-angreb, noget andet er, hvis hackere rent faktisk kommer ind i systemet.

»Vi har brugt meget tid på at holde øje med, at ingen kom ind og lagde noget ind på vores server. Vi var meget nervøse for, om de ville prøve at overtage sitet,« siger Rune Scheye Koop til Version2.

Det skete heldigvis ikke, og KL har nu øget beredskabet. Der sidder lige nu teknikere og holder øje med, at der ikke sker flere angreb.

It-driftsafdelingen fik dog allerede i går aftes løst en del af problemet ved at dæmme op for trafikken fra en tysk server.

»Da vi fik lidt mere ro på i går aftes, kunne vi se at der kom 9.000 forespørgsler fra den samme server i Tyskland. På det tidspunkt var der omkring 10.000 forespørgsler i alt, så da vi fik spærret for serveren i Tyskland, opnåede vi ret meget,« siger Rune Scheye Koop til Version2.

KL og deres it-driftsafdeling holder stadig skarpt øje med hjemmesiden, da de frygter nye angreb.

Opdatering 9/4 2013 kl 12.52: KL.dk er p.t. nede igen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kofoed

Her er min teori:

En søn af en skolelærer besluttede at støtte mor med lidt scriptede DDoS-angreb af den slags, man kan fikse med 30 minutters googling. Han pakkede det samtidig ind i det efterhånden ret tyndslidte "Anonymous"-brand, og har dermed fået sikret sig mere publicity, end han formentlig vil opnå resten af sit liv.

OK, det er en lidt kedeligere teori end jeres ...

Anonym

Nu har hackerne jo øget bevågenheden, så nu kommer alle idioterne. De skal også lige se, om de kan komme ind, og det kan meget nemt være det, der skete her til morgen,« siger Rune Scheye Koop til Version2.

Havde han forventet at når der på jp.dk, ekstrabladet.dk, version2 og cw.dk står om angrebet at folk ikke lige vil se om de har formået at slå angrebet tilbage - selvfølgelig vil en masse besøge siden for at se om den er i live eller ej.

Michael Olesen

Nej, det gør der ikke.

»Nu har hackerne jo øget bevågenheden, så nu kommer alle idioterne. De skal også lige se, om de kan komme ind, og det kan meget nemt være det, der skete her til morgen,« siger Rune Scheye Koop og henviser til den bølge af angreb, der kan følge efter et DDoS-angreb.

Jeg er åbenbart ikke den eneste, der læste den sætning som om at det var trafik fra dem, der havde set "nyheden" og liiiiige skulle klikke inde på siden, for at se om den nu også virkede igen.
Men det var måske ikke den store trafik der stammede fra danske IP'er i flodbølgen efter DDoS'en?

Thomas Alexander Frederiksen

Jeg synes det ser meget enkelt ud det her. Man starter med at sende nogle hundrede tusinde skoleelever hjem, en hel del af dem er givetvis i stand til at lege med på script-kiddie niveau. Bagefter ser man DDoS-angreb i tidsrummet ca. 19 til ca. 23 - altså sådan omtrent fra efter aftensmaden og indtil sengetid for en teenager i skolealderen...

Henrik Kramshøj Blogger

Bagefter ser man DDoS-angreb i tidsrummet ca. 19 til ca. 23 - altså sådan omtrent fra efter aftensmaden og indtil sengetid for en teenager i skolealderen...

med min teenager ville det så være efter 24:00 ... de har jo "fri". Men enig, vi skal nok forvente at en teenager der er level 86 i WoW, har minecraftet hele byer, styret command and control spil nemt kan finde ud af at google "Backtrack youtube" og kommer igang med hacking.

BTW det er GODT at unge idag har adgang til hackerværktøjer, de skal blot vide at det ikke bare er et spil. Så giv dem afløb på virtuelle maskiner med Metasploitable eller andre opgaver som er beregnet til at lære. Har jeg sagt min søn er igang med Python sitet http://learnpythonthehardway.org/ ?

Det værste der sker er at vi får nogle dygtige sikkerhedsfolk og administratorer som ikke bliver lagt ned af simple angreb!

Henrik Kramshøj Blogger

I øvrigt... Jeg synes pressen/ journalister skulle ændre deres brug af ordet "hacket".... Et DDos-angreb er jo sådan set noget andet.

Måske enig, hvis du nu tager din datamat og skærm og kommer med et forslag til databehandlingsordet du ønsker brugt. Du kan blot indtaste det med din netværksomstrejfer og formularen nedenfor. Du kan eventuelt lave en udskrift på din linieskriver

Danskere taler stadig om harddisken som den kasse der står på gulvet, så ja - DDoS er ikke lig med hacking, men DDoS benytter hackerværktøjer - og her falder de fleste allerede af, for hvis ikke DDoS som udføres med hackerværktøjer er hacking - hvad er så?

Så hvis du taler på Version2 så er det godt at være så specifik som muligt, det elsker nørder generelt, men i verden omkring os - hacking er "fint nok". Jeg tror ligeledes mange andre medier bruger version2 som reference og jeg ser hellere sagerne kommer bredere ud end det står 100% korrekt - som så ikke bliver forstået.

Så ja,

Når medierne bruger ordet hacking bruges det ofte i en betydning lettest sammenfattet i: "En der bruger computere til at gøre noget kriminelt". Blandt computernørder, vil man dog ofte støde på en anden betydning.

fra http://hacking.dk/ som jeg er enig i.

Dvs brug hacking nede i hackerspaces i den oprindelige betydning, men hvis du bruger det udenfor den snævre kreds af IT-folk så bliver det måske misforstået. Ofte kan man istedet vælge ord som hærværk (DDoS) eller indbrud (netbank indbrud, penge tabt, brugerids kopieret)

Hvis du stadig har energi til at kæmpe imod misbruget af ordet hacking til at betyde kriminelle handlinger, så kan du med fordel læse historien om Don Quixote der som en helt kæmpede mod nogle skrækkelige modstandere http://en.wikipedia.org/wiki/Don_Quixote

Folk der synes vi skal skrive dansk kan forøvrigt more sig med: http://www.klid.dk/dansk/ordlister/ordliste.html

Log ind eller Opret konto for at kommentere