Dagligt får op til 100 danskere lammet deres internetforbindelse af personlige chikane-angreb

Og det er den dims som din telefonledning terminerer i inde på centralen

Det er en forkortelse for "digital subscriber line access multiplexer"

Når en kommentar bliver mere interessant end artiklen... Hvad står DSLAM for?

Man kunne også mene at det gælder om for så mange som muligt at sige sin mening, det gør det svært at målrette sine Ddos-angreb.

Steen Garbers Enevoldsen, tak igen for et godt indlæg. Jeg kan godt li' den løsning, du præsenterer: ISP'er skal have lov til at censurere deres egne kunder ved at lave en 100% ufiltreret nedlukning af deres forbindelse, hvis man kan detektere uden at snoope på indholdet af data, at kunden deltager i DDOS -- det burde ikke stride mod netneutralitetsprincipper.

Dog med den præcisering, at blokering først kommer på tale efter gentagne henvendelser ikke har resulteret i handling fra kunden. Det er jo trods alt stadigvæk ikke en bevidst handling at være en del af et bot-net. Hvis der var tale om anden type angreb, hvor det er en bevidst handling der lægger bag, kan blokeringen være mere prompte.

Det, du i øvrigt siger i indlægget, kan det tolkes som at FR er modstandere af deep packet introspection?

Fullrate foretager ikke DPI på vores kunder - Det er jeres data, ikke vores!

Ork, jeg gemmer løbende masser af information om hver eneste kundes linje. I øjeblikket gemmer vi i omegnen af en halv milliard stykker information i døgnet om vores kunders linjer, men der er tale om information om udstyrets helbred, linjens kvalitet, seneste periodic inform til ACS serveren, DHCP events, snmp traps, osv. Tonsvis af statistikker, som vi bruger til at holde øje med om alt virker som det skal, og hvis vi ellers er dygtige nok giver det os mulighed for at rette eventuelle problemer før kunderne opdager dem. Det lykkedes ikke altid, men det er ambitionen.

Når det gælder indhold og destinationer for data gemmer vi information i henhold til de gældende love om hvad en ISP skal gemme. Hverken mere eller mindre. Det er ikke noget vi selv har glæde af - hvad skulle vi dog bruge det til?

Når vi en gang imellem kigger på data vil det være i forbindelse med debugging af fejl i udstyret - men det vil jo foregå i samarbejde med den pågældende kunde. Hvis vi nu forestiller os at du ringer til supporten med et problem der er netværksrelateret, og det ikke umiddelbart kan løses af supporteren, vil det ende i netværksafdelingen. Her er det et naturligt værktøj, at vi laver dumps af trafikken for at kunne analysere os frem til årsagen. Hvis vi ikke kunne gøre det, ville vi ikke være i stand til at rette problemerne, og de pågældende dumps gemmes naturligvis ikke efterfølgende.

Jeg interesserer mig for om dine data flyder fejlfrit, men er fuldstændig ligeglad med indholdet. Så giv den bare gas! :)

Man kan ikke forlange at alle brugere har et tilstrækkeligt vidensniveau til at sikre at deres maskiner ikke er inficerede, og derfor bør de have hjælp.</p>
<p>Men det er en balance, hvor kundernes ret til privacy skal holdes i hævd. Jeg ønsker ikke at vide hvad mine kunder laver på nettet, det er helt deres egen sag. Derfor foretager vi ikke nogen form for analyse af hvilken trafik der går gennem en kundes link.

Steen Garbers Enevoldsen, tak igen for et godt indlæg. Jeg kan godt li' den løsning, du præsenterer: ISP'er skal have lov til at censurere deres egne kunder ved at lave en 100% ufiltreret nedlukning af deres forbindelse, hvis man kan detektere uden at snoope på indholdet af data, at kunden deltager i DDOS -- det burde ikke stride mod netneutralitetsprincipper.

Det, du i øvrigt siger i indlægget, kan det tolkes som at FR er modstandere af deep packet introspection?

Tak for det gode indlæg!

Du er velkommen. Det er et interessant emne, og jeg er stor tilhænger af åbenhed, så spørg endelig løs og jeg vil prøve at svare efter bedste evne. Der er selvfølgelig specifikke implementeringsmæssige detaljer som jeg ikke vil have ud - da det kan give angriberne mulighed for at skræddersy deres angreb. Men ellers er der nogenlunde frit slag :)

Jeg ville her tilføje, at man kan gøre alt for at computere, man har ansvar for, ikke bliver til DDOS-robotter.

Her har du fat i noget af det helt rigtige! Og det er ikke kun brugernes ansvar, men burde i lige så høj grad være ISP'ernes efter min personlige mening. Man kan ikke forlange at alle brugere har et tilstrækkeligt vidensniveau til at sikre at deres maskiner ikke er inficerede, og derfor bør de have hjælp.

Men det er en balance, hvor kundernes ret til privacy skal holdes i hævd. Jeg ønsker ikke at vide hvad mine kunder laver på nettet, det er helt deres egen sag. Derfor foretager vi ikke nogen form for analyse af hvilken trafik der går gennem en kundes link.

Derfor har vi ikke direkte mulighed for at detektere om du er en drone ved at kigge på dine data, der flyder gennem vores net. Vi gør det derimod indirekte ved at benytte eksterne services der overvåger internettet for tegn på bl.a. bot-nets og malware-inficerede webservere. Hvis en af vores IP adresser bliver detekteret af dem får vi besked og kan reagere derefter.

Hvis der klages over en IP i et af vores ranges vil vi selvfølgelig også undersøge den sag, og eventuelt reagere over for kunden.

Det er heldigvis et ret sjældent forekommende fænomen at FR kunder er droner for tiden, men det sker. Vi tager så fat i kunden og beder dem rette op på problemet.

I ekstreme tilfælde, med mange gentagelser kan kundens linje lukkes og kundeforholdet opsiges. Det er mig bekendt ikke sket - i hvert fald ikke i min tid i virksomheden. Langt de fleste mennesker bliver jo bare glade for at få besked. Det er sjældent frivilligt at man har en maskine der styres af andre :)

Hvis jeg må tillade mig et mindre skulderklap på branchens vegne, er vi i Danmark rimelig gode til at holde styr på den slags. Det samme gør sig desværre langt fra gældende for mange andre steder i verden.

Hvis nu alle ISP'er i verden ville følge op, og på tilsvarende vis og søge at sikre, at deres kunder's maskiner ikke laver ballade, ville problemerne med f.eks. DDOS være langt mindre.

Findes der i øvrigt i den forbindelse nogen eksempler på ISP'er, der blokerer IP ranges pga. DDOS-angreb? Rent umiddelbart kunne det virke fornuftigt, men ideen indebærer sygt mange problemer udi censur, misbrug og økonomiske incitamenter (net-neutralitet).

Jeg tvivler. De problemer du selv opridser umuliggør det.

iptables er ikke nok. BGP Blackhole Community gør at trafikken allerede bliver sorteret lang væk fra ens ISP, så linjerne ikke bliver belastet.

Ikke hvis man har en webserver men man kan dog stadigt surfe.
F.eks. iptables kan lave det trick.

Men en one-way forbindelse er vel heller ikke specielt brugbar? :)

Indebærer det egentligt at brugeren ikke selv kan lave trafik ud.
Teknisk kan man jo sagtens nøjes med at blokere tilgangen udefra.

IP adressen bliver sat til et BGP Blackhole Community, og indtil den kommer ud af det, så er der helt lukket for det varme vand i begge retninger. Men en one-way forbindelse er vel heller ikke specielt brugbar? :)

Idag er løsningen null-routing/blackholing

Hvad kan du gøre for at undgå DDOS?

Tak for det gode indlæg!

Jeg ville her tilføje, at man kan gøre alt for at computere, man har ansvar for, ikke bliver til DDOS-robotter.

Findes der i øvrigt i den forbindelse nogen eksempler på ISP'er, der blokerer IP ranges pga. DDOS-angreb? Rent umiddelbart kunne det virke fornuftigt, men ideen indebærer sygt mange problemer udi censur, misbrug og økonomiske incitamenter (net-neutralitet).

Hvis en kunde bliver DDoS-angrebet er der så en "lampe der blinker" hos ISP'er? Eller opdager de det først når kunden fortæller om det?

https://forum.fullrate.dk/forum/support/nyheder-annonceringer/3517-h%C3%A5ndtering-af-ddos-angreb-mod-kunder-hos-fullrate

Hvis en ISP opdager én af deres kunder (med dynamisk ip) bliver DDoS-angrebet, burde ISP'en vel hurtigst muligt og ganske automatisk give en ny dynamisk ip til kunden og ligge den ramte ip på hold nogen dage. Dette burde kunne løse problemet for de fleste private kunder, ret hurtigt og forholdsvis smertefrit.

Hvis en kunde bliver DDoS-angrebet er der så en "lampe der blinker" hos ISP'er? Eller opdager de det først når kunden fortæller om det?

Fast ip og websider er noget helt andet.

Hej Gert, Det kan virke som om jeg siger at det er din egen skyld, og at du bare kan opføre dig ordentligt.

Og det forstår jeg godt kan provokere. Men det er et velment råd til dig som bruger. På grund af internettets virkemåde er det teknisk simpelt at angribe, og teknisk svært at beskytte mod (denne type) angreb. Samtidig er det i dag blevet særdeles let at bestille angreb. Der findes direkte DDOS-as-a-service hjemmesider derude, hvor du på få minutter for en meget lav pris kan bestille et angreb mod en IP adresse.

Det er gået fra, at du skulle være et dumt svin der ved noget om netværk til at du bare skal være et dumt svin.

Sådan ser verden ud på internettet i dag: "The bad guys" har rigelig adgang til våben, og risikoen ved at benytte dem er forsvindende lille. Der er ingen grund til at gøre sig selv til et oplagt mål, og derfor giver jeg det råd om generelt at opføre sig ordentligt.

Nu skal vi ikke ud i et indlæg om "tonen i debatten", men prøv at kigge i et tilfældigt internetforum. Flame-wars forekommer ofte, og der er ikke alle der kan holde sig til at debattere i en ordentlig tone. Det er din soleklare ret at tale som du har lyst til, men DDOS er en mulig konsekvens. Like it or not.

Vi vil som ISP selvfølgelig gøre hvad vi kan for at mindske følgeeffekterne af den slags angreb. Idag er løsningen null-routing/blackholing men hvis fremtiden skulle byde på alternative løsninger som for en pris der kan retfærdiggøres for et consumer produkt, jamen så vil markedskræfterne sikre at det vil blive implementeret hos ISP'erne.

Indtil da, kan vi udvide det gode gamle citat: "Never argue with an idiot. He will bring you down to his level and beat you on experience" til "Never argue with an idiot. He will bring you down to his level and beat you on experience, and then DDOS you"

:)

Steen Garbers Enevoldsen, Udviklingschef, Net Fullrate A/S

For at det her kan være et problem, så kræver det altså at man har åbnet for en eller anden service ud mod internettet. Har man ikke det, så kan man ligeså godt bruge en ISP med dobbelt NAT (carrier grade), således at der ligger en NAT hos ISP'en. På den måde vil ethvert angreb stoppe hos ISP'en

Bruger man dynamisk IP, så kan man release sin IP, og bagefter få en ny. Så er der sikkert en anden sagesløs person som får den ramte IP.

Ellers er der ikke noget man kan gøre. Selvom routeren sættes til at blokere for trafik, så vil DDOS pakkerne stadigt komme frem til routeren og dermed er linien lagt død.

Så er det kun ens ISP som kan hjælpe.

Tak for et grundigt svar Steen. Jeg er godt klar over det har nogle omkostninger at vaske trafikken, og at det nok er overkill for private forbrugere. Jeg synes bare TDC's bemærkning var lidt flabet :-)

Det er en meget pragmatisk holdning, at jeg bare kan opføre mig ordentligt. Det er rigtigt nok, men det må aldrig blive den "endelige" løsning på problemet. Som i den fysiske verden; "Du kan bare holde dig væk fra nørrebro, hvis du vil undgå at blive beskudt" - "Jamen hun gik jo udfordrende klædt..." osv.

Ja, sikkert. Problemet er at grænsen mellem white og black er temmelig flydende, alene i kraft af betragteren. Desuden er en hvid hat bestemt ikke ensbetydende med at man også har viden og kompetence til at fange "den rigtige" og så er en ny uskyldig bruger pludselig under angreb.

Mads, det hjælper ikke at blokere for bestemte IP'er i din firewall, da DDOS af natur kommer fra tusindvis af IP adresser (Det første 'D' står for Distribueret). Og selv hvis det lykkes dig at blokere for en stor nok range (hvis f.eks. alle de angribende maskiner er i Kina) så er skaden sket før din firewall kan gøre noget ved det, da linket ned mod dig bliver fyldt med DDOS trafikken, så der er ikke plads til anden trafik.

Gert, det er ikke mangel på omsorg der gør, at ISPen nul-router din IP adresse, det er netop omsorg for alle de andre kunder på din netværksnode. En DSLAM, med et par hundrede kunder har måske et uplink på 2Gbps, og hvis angrebet er voldsomt nok, kan det dermed betyde at alle kunder på den pågældende DSLAM mister forbindelsen til nettet. DDOS er en konsekvens af internettets opbygning. Vi så f.eks. et angreb mod en enkelt kunde for et par uger siden, hvor angrebets størrelse var helt oppe over 13 Gbps. Hvis ikke man som ISP reagerer i sådan et tilfælde, kunne det lægge en hel central ned.

Der findes teknologier som muliggør 'vask' af trafikken under et DDOS så kunden kan fortsætte med at benytte sin forbindelse, men det er meget omkostningstungt, og ville gøre prisen for din linje alt for høj. Desuden virker det heller ikke 100%. Selv store virksomheder med masser af penge til alt det mest fancy beskyttelse er ikke usårlige. Se f.eks. http://news.sky.com/story/1387871/playstation-network-hacked-by-lizard-squad

Husk: DDOS rammer ikke tilfældigt. Det koster penge at iværksætte en DDOS kampagne mod en IP, så 99,9% af tilfældene er angrebet bevidst sigtet mod den IP som der rammes (og i 0,1% af tilfældene taster angriberen en forkert IP adresse :) )

Hvad kan du gøre for at undgå DDOS?

Opfør dig ordentligt på nettet! Hvis du fremturer provokerende, så kan DDOS være konsekvensen. Uanset hvordan du opfører dig er det selvfølgelig ikke OK at DDOS'e dig, men du skal bare være opmærksom på risikoen. Præcis på samme måde, som hvis du sviner og provokerer på en bar, risikerer du at få "nogen på gummerne" :)

Hvis du f.eks. hoster en hjemmeside med holdninger som kan virke provokerende kan DDOS være de "anderledes tænkendes" måde at undertrykke dit budskab. Hvis det er meget vigtigt for dig at være online med en sådan type hjemmeside, bør du sørge for at hoste den på en hostingservice som tilbyder DDOS protection (det koster ekstra).

Hvis du er debattør som oplever DDOS angreb som følge af dine posts/indlæg bør du benytte VPN eller TOR.

Du kan også overveje at have en backup forbindelse i form af f.eks. et 4G mobil bredbånd abonnement, men det er lidt overkill bare at have liggende i skuffen med mindre du ofte rammes af DDOS, og det er trods alt fåtallet af danskerne som oplever det.

I kan læse lidt om hvordan Fullrate håndterer DDOS på dette link.https://forum.fullrate.dk/forum/support/nyheder-annonceringer/3517-h%C3%A5ndtering-af-ddos-angreb-mod-kunder-hos-fullrate

Steen Enevoldsen, Udviklingschef, Net. Fullrate A/S

..der kommer lovgivning, ordenhåndhævelse og straf på dette område også?

Jeg tænker at der vel er lige så mange "white hats" som "black hats", som vil få et kick ud af at opspore og afstraffe langt de fleste af de frustrerede tåber, som kan finde på at bestille og udføre disse angreb.

Men det bliver der selvfølgelig ikke mindre Big Brother af....

Det burde vel være muligt at benytte en VPN-løsning - tilkøbt hos en af de mange leverandører af sådan - og på den måde undgå at afsløre sin IP når man bruger Skype eller fx spiller på en Minecraft-server?

Hvad kan man gøre som privatperson?
Kan man gøre noget teknisk i sin router/firewall? Eller bare undlade at afsløre sin IP-adresse?

Man kan undlade at afsløre sin IP adresse, fx ved at gå på nettet med en TOR browser. Ud over det, er der ikke meget andet at gøre.

Husk på at de store ISP'ere har adskillige opkoblinger til udlandet til rådighed, i 10 - 100 Gbit klassen. Din private Internet opkobling er i størrelsen 2 - 100 MBit. Du skal selv bruge download kapaciteten for at kunne opretholde forbindelsen til Internettet, uanset om du blot 'surfer' og henter mail, eller om du har en server stående med din hjemmeside eller mailhotel.

Når du bliver angrebet med DDOS, sender et stort antal afsendere, så meget trafik, at din lille private opkobling bliver mættet totalt. Routeren du foreslår at ændre i, står først efter denne opkobling, og på dette tidspunkt er det stort set for sent at gøre noget.

Det eneste du kan håbe på, er at blokere selve angrebet, samt de pakker der bliver brugt til at spore om du er online. I så fald kan man håbe på, at angriberen nedskalerer trafikmændgen, da der jo ikke er nogen forretning i at sende mere trafik, end højst nødvendigt. Hvis du kører lokal server er det dog ikke nogen løsning. Så er det jo nemt at se om hjemmesiden virker eller ej, og du kan ikke rigtigt blokere for angrebet, uden at pille hjemmesiden af nettet også.

Hvis du har en tilpas god router, kan du sortere i IP-adresserne, der kan sende anmodninger til dig, men du vil sandsynligvis blot opleve, at nye IP'er kommer til, hver gang du lukker en. Til gengæld kan du logge de angribende IP'er og melde dem til politiet. Jeg har ikke kunnet finde noget eksempel på en dom, der ikke handlede om et angreb mod en offentlig instans eller hjemmeside.

"som angrebet privatkunde er man i bund og grund nødt til bare at vente på, at angrebet stilner af,« siger teknisk sikkerhedschef hos TDC"

Tak for omsorgen kære ISP. eller ikke.

Hvad kan man gøre som privatperson? Kan man gøre noget teknisk i sin router/firewall? Eller bare undlade at afsløre sin IP-adresse?