Ekstra Bladet lagt ned i cyberangreb

Illustration: leowolfert/Bigstock
Et specialdesignet DDoS-angreb lagde tirsdag Ekstra Bladets hjemmeside ned. To millioner samtidige forsøg på at forbinde sig til eb.dk var mere, end hvad sitet kunne holde til.

Ekstrabladet.dk - en af landets mest populære websider - blev tirsdag over middag angrebet af hackere.

Hackerne gjorde med millionvis af forespørgsler til Ekstra Bladets servere sitet utilgængeligt i en kortere periode, ind til teknikerne havde taget effektive modforholdsregler.

Nedbruddet kom kort efter, at det konkurrerende mediehus Berlingske oplevede nedetid på store nyhedsportaler som b.dk, bt.dk og business.dk. En oplagt teori var derfor, om det var ekstra trafik fra nyhedshungrende danskere, der var gået forgæves hos konkurrenten, der nu lagde eb.dk ned.

Læs også: Berlingske: Nyt nedbrud ligner firewall-problem igen

Den teori afviser it-direktøren i JP/Politikens hus i og med, at han er sikker på, at der var tale om et reelt angreb mod Ekstra Bladets hjemmeside.

»Den slags angreb er bestemt ikke dagligdag, men omvendt er situationen heller ikke fremmed for os,« siger Per Palmkvist til Version2.

Han oplyser, at der var tale om et såkaldt SYN-flood angreb fra spoofede ip-adresser. Det det gik hedest for sig, var der over to millioner samtidige connections til Ekstra Bladets servere.

Dermed kategoriserer it-direktøren tirsdagens angreb som værende i den tunge ende.

»Den måde, angrebet blev udført på, viser, at det helt sikkert er nogen, der mener det alvorligt. De har haft en masse udstyr til rådighed, og det har sandysnligvis været centralt placeret på internettet - ellers har de ikke kunnet spoofe ip-adresser på den måde,« siger Per Palmkvist Knudsen til Version2.

Et SYN-flood attack består kort fortalt i, at angriberen kortslutter den måde, servere normalt forbinder sig med hinanden på. Normalt foregår et sådant handshake ved, at den ene server sender en synkroniseringsforespørgsel (SYN) til den anden, som så bekræfter med et SYN-ACK ("SYN-acknowledge"). Når den første server bekræfter (ACK) den andens SYN-ACK er forbindelsen oprettet.

Ved et SYN-flood attack sender angriberen en lang række SYN-forespørgsler til serveren, men undlader at svare på de SYN-ACK-meddelelser, der kommer retur. Dermed tvinger angriberen serveren til at lytte efter et svar, der aldrig kommer, og på den måde bliver serveren utilgængelig for alle andre, der forsøger at tilgå den.

Ud over at bekræfte, at angrebsmetoden var et SYN-flood attack ønsker Per Palmkvist Knudsen hverken at gå i detaljer med angrebet eller med hvilke modforholdsregler, mediehuset har truffet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nicolai Hansen

"Ved et SYN-flood attack sender angriberen en lang række SYN-forespørgsler til serveren, men undlader at svare på de SYN-ACK-meddelelser, der kommer retur." - Hvis IPen er spoofed, så kommer SYN-ACK beskederne vel ikke retur til angriberen (men til den spoofede IP)?

  • 3
  • 0
Jens-Peter Vraa Jensen

Da angriber vil have "mest muligt" ud af sine ressourcer og ikke agter at svare på SYN-ACK, så giver det fin mening af spoofe afsender adressen. På den made havner SYN-ACK pakken hos en helt forkert modtager (som naturligvis heller ikke bekræfter den). Angriberens udstyr skal således ikke modtage (og ignorere) SYN-ACK pakken.

  • 0
  • 0
Henrik Kramselund Jereminsen Blogger

Er der virkelig nogen der i forvejen ikke beskytter mod SYN flooding? Det er ikke ligefrem 0day...

SYN flood går ud på at tage så mange resourcer som muligt. En default firewall er ikke beregnet til større angreb.

Hvis man ikke har enten tænkt over det, eller oplevet det, så vil de fleste IKKE have indstillingerne som afviser angrebet effektivt. Jeg har skrevet mere om det tidligere på V2 http://www.version2.dk/blog/hvad-er-ddos-distributed-denial-of-service-1... Sådan som tommelfingerregel vil jeg sige at "host OS" typisk har default indstillinger for firewalls i 10.000-100.000 sessions, mens hardware load balancers typisk ligger i 2-cifrede millioner sessions - 16 millioner mener jeg at kunne huske på en af vores "dårligste" hardware load balancere.

Konklusionen er, undersøg hvad din nuværende firewall har af begrænsninger, forestil dig worst case og find ud af hvor meget tid du vil bruge på at tune og/eller indkøbe mere hardware. Så hvis du er doven skal du måske se på en hardware loadbalancer. Ideen er så at du smider loadbalancer helt ud foran din normale firewall og det er idag muligt at få load balancere som er "ICSA Certified firewalls", så din lokale CSO stadig er glad :-)

Alternativt find ud af hvad du tillader i din firewall og smid alt andet væk med STATELESS filtre som afviser uden at koste nævneværdige resourcer (senest testet i sommers på små Juniper SRX240, og sat i produktion for kunder på samme type enhed).

Lidt modificeret fra en kunde - Junos stateless filtre:

term allow-services {  
    from {  // lad dig ikke forvirre, det er indgående traffik  
        destination-address {   
            10.1.2.0/24;  // det subnet hvor dine web servere er  
        }  
        protocol tcp;  
        destination-port [ 80 443 8080 ]; // lidt udvalgte porte  
    }  
    then accept;  
}  
term block-unneeded {  
    from {  
        destination-address {  
            10.1.2.0/24; // samme subnet som ovenfor  
        }  
        protocol-except icmp;  
    }                             
    then {                        
        discard;                  
    }                             
} 

Det betyder at vores enheder bagved kun skal se på udvalgte protokoller og porte.

  • 4
  • 0
Jeppe Toustrup

Hvis IPen er spoofed, så kommer SYN-ACK beskederne vel ikke retur til angriberen (men til den spoofede IP)?


Korrekt, det er at sammenligne med spam mails hvor afsender e-mail adressen bliver spoofet. Så får spammerne ikke alle mails tilbage fra servere som ikke kunne levere mailen.
I øvrigt bliver det også sværere at blokere mailene og SYN pakkerne, da man ikke bare kan filtrere på afsender adressen.

  • 0
  • 0
Baldur Norddahl

Hvis man ikke har enten tænkt over det, eller oplevet det, så vil de fleste IKKE have indstillingerne som afviser angrebet effektivt.

Jeg har lært at man ikke bør køre med SYN-cookies til dagligt, da det har nogle ulemper. Stor er min overraskelse derfor da jeg lige vil checke om min maskine er sat op til at bruge SYN-cookies:

baldur@neaira:~$ sysctl -q net.ipv4.tcp_syncookies
net.ipv4.tcp_syncookies = 1

Jeg noterer også at alle vores servere har det slået til, selvom det ikke er noget vi har rodet med.

Hvis reklamematerialet ellers passer, så burde vores servere være immune for SYN-flooding. Ironisk nok kan det være at vores firewall ikke er immun, hvis et SYN-angreb kan overbelaste dens connection-tracking-engine.

  • 0
  • 0
Flemming Hansen

"De har haft en masse udstyr til rådighed, og det har sandysnligvis været centralt placeret på internettet"
Det lyder som noget der kræver større arbejde at arrangere og udføre, og hvad opnår de ved at fx EkstraBladet er nede en periode? Jeg kan ikke lige se sammenhæng mellem anstrengelserne og målet.

  • 0
  • 0
Henrik Pedersen

Man skal ikke afvise at det var "for sjov".

Jeg snakkede en gang med en gut som ville bevise en pointe over for mig og lagde CocaCola.com ned i et kvarters tid. Kender ikke styrken af det angreb han anvendte, men det var som sagt blot for at bevise han kunne. Samme fyr har tidligere været med til at ligge Runescape ned, og de er bestemt vant til at håndtere angreb fra alskens afkroge.

Og nej jeg har intet med den slags pjat at gøre, men man møder uundgåeligt nogle interessante mennesker på forskellige fora.
Og nej jeg har heller ikk hans mail eller anden ID mere. :)

  • 0
  • 0
Log ind eller Opret konto for at kommentere