Folketinget lagt ned af »helt ekstremt lille« DDoS-angreb, der kan laves af en mini-computer

Illustration: Virrage Images/Bigstock
Opdateret: Folketingets hjemmeside er blokeret to gange inden for tre dage på grund af DDoS-angreb på 2 Gbit/s, der af netværksekspert betegnes som »helt ekstremt lille«.

Korrektion den 19. januar 2016: Folketinget har korrigeret størrelsen på angrebene. Der er ikke tale om 2 Gbit/s, men om 25 Gbit/s, da angrebene nåede det højeste niveau.

--- Oprindelig artikel: ---

»Jeg synes, det er pinligt, at vores Folketing kan blive lagt ned af et angreb i den størrelsesorden.«

Sådan lyder reaktionen fra direktør for Solido Networks, Henrik Kramshøj, på de to DDoS-angreb, der har tvunget Folketingets hjemmeside i knæ både fredag og mandag.

Læs også: DDoS-hackerangreb lægger Folketingets hjemmeside ned for anden gang på tre dage

Angrebet er så lille, at trafikken bag det kan genereres fra en lille XPC-computer med en enkelt kerne, vurderer han.

Angrebene nåede op på 2 Gbit/s ifølge Folketingets it-gruppeleder, John Skovgaard. Men da Folketingets samlede forbindelse hos Telia er på 1 Gbit/s, satte det en prop for trafikken.

Folketinget hoster selv hjemmesiden www.ft.dk, som var genstand for angrebet. Da angrebene ramte hjemmesiden påvirkede det derfor også alle folketingsmedlemmernes internetforbindelse.

Som konsekvens valgte Folketinget at blokere adgangen for alle hjemmesidens besøgende, der kommer ind via den internationale gateway, hvor også angrebene stammede fra. På den måde kunnet folketingsmedlemmerne få deres internetforbindelse tilbage, oplyser John Skovgaard.

Besøgende med internetudbydere som Telia, TDC og Telenor kan derfor godt få adgang til Folketingets webside, mens mindre udbydere, der ifølge John Skovgaard går via den internationale kanal, stadig har fået blokeret adgangen siden angrebet startede kl. 10 mandag.

»Det var den måde, vi kunne få vores internetudbyder (Telia, red.) til at dæmme op for angrebet,« siger John Skovgaard.

Netværksekspert: Angreb kunne være afværget

Den forklaring giver Henrik Kramshøj dog ikke meget for.

Flere store internetudbydere inklusive Telia tilbyder nemlig en DDoS-beskyttelse via firmaet Arbor Networks. Det består af en hardware-løsning, som vasker trafikken og ifølge Henrik Kramshøj kan klare datamængder på i hvert fald fire millioner pakker pr. sekund.

Da et angreb på 2 Gigabit/s har et teoretisk maksimum på 2,8 mio. pakker pr. sekund, ville det derfor sagtens kunne afværges med denne løsning, vurderer Solido-direktøren.

At Folketinget i stedet har valgt at blokere for adgangen til websiden er derfor »meget spøjst«, men kan have en forklaring:

»Løsningen med angrebsbeskyttelse er desværre ret dyr,« siger han.

Folketinget forsøgte at løfte blokeringen op til fire gange under angrebet i fredags, men hver gang gik der knap fire sekunder, før linjen blev overbelastet igen. Først kl. 10 om lørdagen var angrebet stilnet af.

Angrebet blev genoptaget kl. 10 mandag formiddag, og Folketinget ville ved redaktionens deadline mandag aften til at forsøge at løfte blokeringen igen.

Folketinget: Underligt at ingen har taget ansvaret

Angrebet mod Folketinget var et såkaldt DNS amplification-angreb, der benytter sig af usikre åbne DNS-servere rundt omkring i verden.

De ip-adresser, der har oversvømmet Folketingets forbindelse, er derfor ikke de egentlige angribere.

»De oprindelige angribere ligger bag næste lag. Om det kommer fra et botnet er ikke til at vide,« siger John Skovgaard.

Han undrer sig over, at der endnu ikke er nogen, som har taget ansvaret for angrebene fredag og mandag. Eller i det mindste givet en årsag til, at Folketinget er blevet chikaneret.

»Det er ellers meget normalt ved den her type angreb,« siger John Skovgaard.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (38)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarke Jørgensen

der har noget imod det danske demokrati i disse dage kunne tænkes at stå bag. Spår det må være en del. Det kunne selvfølgelig også være en knægt på 14 der kedede sig og ville se om det kunne lade sig gøre at vælte Folketinget.dk ved at puste på det.

In other news: Pengedepot rømmet for værdier af 3 vilde egern.

  • 11
  • 0
Steffen Schumacher

En simpel og billig (fattigmandsløsning) kunne være simpelthen at police DNS trafik på deres forbindelse til fx 5 Mbit, og selv følgelig droppe DNS trafik til andet end DNS serverne - i telias ende.
Telia kan droppe trafikken i hardware, og sandsynligvis er der valide DNS server der ikke kan få svar fra tid til anden, men svarene caches, så når det lykkedes vil tingene virke.
Dette vil barbere DNS angrebet ned til noget DNS serveren kan absorbere og HTTP trafik vil blive afviklet.
Telia kan implementere dette i løbet af 10 minutter og uden ekstra hardware - men det kanibaliserer selvfølgelig arbor produktet ;)

  • 5
  • 2
Gert G. Larsen

Er det et område hvor offentlig støtte rent faktisk kunne give mening?
At politiets eller forsvarets budgetter også omfattede anti-dos på såvel offentlige som private internetlinjer? Uden at det bliver overvågningssamfund og skal igennem alle mulige primitive bokse hos CFCS og alt muligt, men bare hvor der betales for ISP'ernes anti-dos, og rapportering automatisk sendes til politiet, som så kan efterforske det samlet.
Uanset om der er tale om fysisk eller virtuelt hærværk, optøjer, banditter og lømler, kan politiet være klar til at hjælpe borgerne.
Kunne det ikke være meget fint? Eller er jeg helt på vildspor?

  • 3
  • 5
Torben Mogensen Blogger

DDoS står for "Distributed Denial of Service", og indebærer, at angrebet er foretaget af et antal løst forbundne computere på forskellige adresser. Hvis angrebet blev lavet af en enkelt computer, så er det vel "bare" DoS, "Denial of Service".

  • 8
  • 0
Jens Kristian Geyti

Som jeg læser artiklen, var det blot for at illustrere angrebets størrelsesorden - en traffikmængde der ville kunne genereres af en standard maskine. Angrebsvektoren var DNS amplification, en teknik der (normalt) er distribueret af natur.

  • 7
  • 0
Vilhelm Thorgny Hansen

Tak for en fantastisk morsom overskrift til artiklen :)
For at skære ud i pap for de måbende og uvidende læsere, hvor lille størrelsen/kapaciteten på den computer, som det >>helt ekstremt lille<< DDOS-angreb rent hypotetisk kunne være foretaget fra , anvender den kjære journalist diminutivet "Mini-computer".
Heldigvis er det begrænset, hvor mange der nu om dage l-i-g-e har sådan en fætter stående, så truslen herfra er nærmest at betegne som værende lig 0! : For ifølge Wikipedia er betegnelsen minicomputer (citat) " ... developed in the 1960s to describe the smaller computers that became possible with the use of transistors and core memory technologies, minimal instructions sets and less expensive peripherals such as the ubiquitous Teletype Model 33 ASR. They usually took up one or a few 19-inch rack cabinets, compared with the large mainframes that could fill a room." :D :D :D

  • 5
  • 4
Markus Hornum-Stenz

Hvis en enkelt XPC-computer med en enkelt kerne kan lægge en 2 Gbit forbindelse ned, så fører logikken vel til at folketinget skal have en 2 Tbit forbindelse for at kunne modstå et ægte DDOS angreb fra bare 1000 maskiner (småt i de kredse så vidt jeg ved)

Handler det ikke mere om håndteringen hos leverandøren end om brute force og antal PC'er og antal Gbit?

  • 8
  • 0
Henrik Kramshøj Blogger

DDoS står for "Distributed Denial of Service", og indebærer, at angrebet er foretaget af et antal løst forbundne computere på forskellige adresser. Hvis angrebet blev lavet af en enkelt computer, så er det vel "bare" DoS, "Denial of Service".

Du har teknisk set ret, den bedste slags ret :-)

Snakken tager vi ofte, og vi både monitorerer DDoS og genererer "DDoS". Når jeg eksempelvis tester bruger jeg jo gerne et værktøj som laver random source adresser, så det syner af flere DDoS sources - men det kan jeg jo gøre fra "een computer". ... og hvad ER EN computer idag? Vores bladeservere med virtualisering er så kraftige at vi har dem opdelt i virtuelle maskiner, så snakker vi een VM eller den fysiske server? Så når man ser en masse source IP adresser så er det ikke til at vide om det kommer fra een eller flere servere, og generelt kalder jeg det derfor DDoS.

Så TL;DR fra en ældre Shuttle XPC fra 2012 med core i7 og standard Intel dual-port 10Gbit netkort kan jeg på eeen 10G port lave så tæt på de maximale 14 mill pakker per sekund med ca. 3 kerner. Den type udstyr er hverken state-of-the-art eller nyeste generation.

Det gjorde vi på thecamp.dk i sommerferien - uge 30 med hjælp fra Jesper Brouer som er en gigantisk fænomenal programmør som laver Linux kerneprogrammering.

Personligt tror jeg at mange "DDoS" kommer fra relativt få maskiner som blot laver mange pakker med falsk afsender.

PS inden I bliver sure på Jesper Brouer, så er han good guy der laver beskyttelse imod DDoS, og har rigtig god success med det. Måske Telia eller Folketinget skulle finde en Linux server :-)

  • 10
  • 0
Poul-Henning Kamp Blogger

"Folketinget hoster selv hjemmesiden www.ft.dk, som var genstand for angrebet. Da angrebene ramte hjemmesiden påvirkede det derfor også alle folketingsmedlemmernes internetforbindelse."

Helt ærligt...

Er der nogen der gider forklare forkortelsen "CDN" til folket på slotsholmen ?

  • 9
  • 0
Carsten Lillelund Pedersen

Jeg vil anbefale at man starter med at tænke sig om, før man beslutter noget som helst !

Hvis man har de skarpeste folk ansat og benytter sig at de bedste services, overvågning, response team og teknologier, så kan det måske godt give mening at drifte sit eget website, men det tvivler jeg på.

Der bliver tænkt alt for lidt i Danmark !

  • 2
  • 1
Henrik Kramshøj Blogger

Enig. Det formodes, at den slags antikvariske genstande kun forefindes i kælderen under Tapeten i Ballerup.

Er der i øvrigt nogen fra Datahistorisk Forening, der kan forklare, om Minicomputere generelt set, kan "tale IP protokol"?

Kan I ikke bare tage jeres walkman på og sidde ved jeres PC, som kun har to diskettedrev? Mini computer er ikke engang et trademark eller varemærke ...

Til spørgsmålet så vil jeg tror at den historiske Freja fra DIKU var en mini computer i jeres forstand, og den kørte TCP/IP da jeg brugte den i de tidlige 1990ere

  • 7
  • 0
Gordon Flemming

Hov, hov Allan... nogen kunne jo mistænke dig for at være bagmand for denne terroraktion. Ikke fordi jeg personligt tror det var dig, men jeg er bekymret på vegne af alle bedsteborgere og må hellere tippe politiet, via politiets android stikker-app, om din mistænkelig adfærd...

  • 1
  • 0
Henrik Kramshøj Blogger

Tror du ikke bare du får en Anakata dom skubbet godt ned i halsen:
Du krypterer, du gemmer noget, du er skyldig!

Godt spørgsmål, vi har JT som fik 6 mdr, efter 17 mdr, og som kæmper med politiet. Warg som fik en lang dom, med utrolige "beviser" ... men alternativet er:

Anklageren: "Ja, og som vi kan se har han Metasploit som indeholder skadelig software, samt 300 andre hacker værktøjer. Man kan ikke forestille sig at han har installeret SÅ MANGE uden at have tænkt sig at bryde ind."

Så med fuld disk kryptering vælger jeg selv om jeg vil åbne, det giver i det mindste lidt valgmulighed. Jeg håber også at jeg vil kunne stå imod det presssssss som politiet ganske givet ville prøve med.

NB: hvis du rejser med dine data krypteret er all bets off! Frankrig vil være problematisk, UK ligeså, ... og arabiske lande - uha pas på.

PS for dem som ikke ved det indeholder Kali Linux omtrent 300 hackerværktøjer i default install.

  • 4
  • 0
Stig Johansen

'Dengang' i 1980, da jeg startede i HP og oplært i Silicon valley, var minicoputer en anelse diffust.
IBM kaldte deres for mainframe, og HP kaldte deres for minicomputer.
Det var fordi IBM ville være nden største inden for mainframe, og HP arbejdede på at blive stor inden for minicomputere.
Ydelsesmæssigt var der ikke den store forskel, det var ren marketing strategi.
Og nej - IP (TCP/UDP) vat slet ikke på banen, detv var RJE/SNA/X.21/X.25 osv.osv
Hilen The ol' man

  • 3
  • 0
Stig Johansen

At spore ophavsmænd er nok nærmst umuligt.
Der er jo ikke tale om at man bruger sine egne computere, men uskyldige (inficerede) maskiner p inettet.
Jeg lavede, samen med en kammerat, en dybdegående analyse af tilstanden, og adfærd på i
nettet.
Det er en del år siden, men den er beskrevet her:
http://wopr.float4you.com/storm.monitor/rationale.asp
Her nakker jeg kun om hvordan man får malware, men hvis man kigger godt efter, ser man at disse metoder også kan bruges til DDoS angreb via uskyldige servere.
Hilsen
The ol' man

  • 0
  • 0
Jens Henrik Sandell

@Stig
Tak for svaret.
@Henrik
!tak.
Din bemærkning om diskettedrev og walkmans var unødigt sårende. Jeg er født i 70'erne, og sad i børnehavens sandkasse og spiste jord, dengang der var minicomputere til. Ikke desto mindre var v.- og x.-protokollerne og tolken ring fortsat en del af pensum, da jeg læste til ingeniør i 90'erne. Så spørgsmålet var faktisk ærligt ment.
Hilsen Jens

  • 1
  • 0
Brian Hansen

Det rigtige problem er jo ikke krypteringen, men at vi har dommere og såkaldte lægmænd der ikke aner en fløjtende fis om hvordan det fungerer.
Tag bare Anakata sagen og ham anklageren.
Alle med lidt generel IT teknisk baggrund synes formentligt de ting han fremlagde var så langt ude i hegnet at det umuligt kunne blive taget seriøst af dommerne. Men det blev det, fordi de er, undskyld udtrykket, dumme mennesker med for megen magt, der skal tage beslutninger på et grundlag baseret på udtalelser af, tadaa: ENDNU et dumt menneske (hej anklager!). Og de sluger det. RÅT.
Det går den forkerte vej, men hvad kan vi stille op, ud over at gemme os bagved diverse tekniske foranstaltninger hvis man vil snuse til den del af branchen?
UK har jo på det seneste decideret opfordret til at forældre holder øje med deres børn, hvis de (GISP!) koder programmer. De kan jo være cyber-terrorister... \o/

Hvornår sender de den der bemandede raket til Mars? Jeg overvejer at gemme mig i lasten....

  • 2
  • 1
Rune Jensen

Hvornår sender de den der bemandede raket til Mars? Jeg overvejer at gemme mig i lasten....

Well... Iflg. Degrasse Tyson, så er der ingen videnskabelig fordel i at sende et menneske afsted i forhold til en robot.

Omkostningerne ved at sende mennesker afsted er alt for høje til, at man kan acceptere dem med det nuværende politiske klima og den nuværende økonomi.

Han anfører dog en enkelt ret stor fordel ved at sende mennesker og ikke maskiner, nemlig PR-værdien. Folk er en del mere interesserede, når et menneske opnår noget i rummet, end når en robot gør det. Så mennesker på Mars vil kunne øge interessen for videnskab en del iblandt befolkningen.

Men med mindre vi får en ny kold krig, så er chance for mennesker på Mars ikke store.

  • 0
  • 0
Regnar Lyngsø

Jeg har lavet kommunikation via TCP/IP mod en PDP/11, som vist nok kan betegnes som en mini-computer. Jeg vil dog forholde mig tvivlende over for om den kan levere 2Gbps - al den stund, at maskinen mere eller mindre crashede på et 10Mbps segment med standard broadcast-trafik.

  • 0
  • 1
Emil Stahl
  • 0
  • 0
Kjeld Flarup Christensen

Så TL;DR fra en ældre Shuttle XPC fra 2012 med core i7 og standard Intel dual-port 10Gbit netkort kan jeg på eeen 10G port lave så tæt på de maximale 14 mill pakker per sekund med ca. 3 kerner. Den type udstyr er hverken state-of-the-art eller nyeste generation.

Har du en 10G forbindelse, så kan du sikkert også sende 10G :-)
Man kan så diskutere om en computer med mere en 1G netkort er en "minicomputer".

Samtidigt vil jeg tro at rigtigt mange servere, som hostes rundt om kun har 1G link til hostings centrets switch. Det er som regel alt rigeligt til normal service. Jeg tror ikke ft.dk er så populær som f.eks. facebook og netflix :-D

Og selvom man opgraderede og lagde en 10G ind, så ville man alligevel hurtigt nå muren. Så løsningen skal findes i nettet, ikke den enkelte server.

  • 0
  • 0
Henrik Kramshøj Blogger

Og selvom man opgraderede og lagde en 10G ind, så ville man alligevel hurtigt nå muren. Så løsningen skal findes i nettet, ikke den enkelte server.

Du har ret i at man stadig hurtigt vil ramme muren, men det vil dog give lidt ekstra tid at løbe på - og når selv private i Danmark begynder at få 300-1000Mbit forbindelser på kabel-tv og fiber så bør firmaerne nu være igang med 10Gbit - det er ikke så dyrt endda.

Så vil man samtidig kunne allokere måske 1Gbit til surfing og email og så lade de 9Gbit være til websiderne. Det ville sikre at medarbejderne det pågældende sted kunne arbejde nogenlunde uforstyrret.

  • 0
  • 0
Stig Johansen

RJE/SNA/X.21/X.25 osv.osv

Nogen som kan give en kort forklaring på, hvad dette er?

Ja - kort.
RJE er Remote Job Entry (IIRC), og var den protokol der blev brugt dengang vi, som verdens første nation, indførte papirløse obligationer.
Dengang var det faste linier op mod VP (Værdipapircentralen).

SNA var (er?) IBM's protokol, som kunne køre over forskellige medier, herunder faste linier.
3270 er nok den mest kendte, for det var protokollen for terminaler, afløser for BSC, som var ustabil.

Senere kom LU 6.2, senere kendt som APPC og APPN, som vi brugte i (ca 88), hvor vi implementerede (near) real time online børshandel.
Dermed blev de fysiske børskrejlere afskaffet, og monopolet for fondsbørsvekselere ophævet.

X.21 var/er i princippet en fast linie, bortset fra den blev kolbet til og af efter forbrug.

X.25 er i princippet en slags opkald, hvor man brugte - lad os kalde en slags telefonnummer.

Den brugte vi som bæremedie fra Grønlandsfly til SMART, som kørte reservationssystemer - herunder SAS.

He - kommer i tanke om jeg lavede noget fejlsøgning i den forbindelse nede ved Tele Grønland, og turnaround for en pakke var ca. 160 ms (eller var det mere).
Her skal huskes at dengang kørte det via sattelit, og ikke kabler.

Som storkunde - dengang, var vi de første i Danmark, der fik IP p HP udstyr, endda før HP selv i DK.
Teknikeren vr lidt misundelig, og lidt på dybt vand, da det var den første, og dermed uprøvede, installation i DK.

I forhold til læserne skal vi huske at det var ikke PC'ere vi snakker om, men 'rigtigt jern'.

'Dengang' havde alle deres propritære protokoller, IBM havde RJE/BSC/SNA, HP brugte RS232/RS422 og DS3000 for maskine til maskine kommunikatin og herover PTOP (Program TO Program)

Been there done that.

Med venlig hisen
The ol' man

  • 1
  • 0
Ditlev Petersen

En ulden artikel: https://da.wikipedia.org/wiki/Minicomputer

Mht. at sende mennesker til Mars, så mener jeg, at vore store og begavede ledere bør gå forrest. Det vil forbedre situationen på Mars såvel som i Danmark. ;-)

3270 var en standard for terminaler fra IBM (sikkert stadi gældende). As/400 brugte et andet system, der var lidt fiksere (man lærer hele tiden). TTY var gode gammeldags fjernskrivere (bruges stadig dog som regel uden papir), VT-ditten og datten var noget andet, måske Digitals terminaler (findes vist også endnu). Old systems never die, they just reboot.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize