Heftigt DDoS-angreb tvang dansk hostingfirma i knæ

18. september 2009 kl. 10:2133
Et voldsomt denial-of-service-angreb sendte hostingfirmaet Wannafind offline i fire timer. TDC måtte hjælpe med filtrering af trafikken, før angrebet var afværget.
Artiklen er ældre end 30 dage

Læserne hos den liberale netavis 180grader.dk måtte tirsdag aften nøjes med blank skærm. Ligesom de 130.000 andre hostede websider hos Wannafind.dk var netavisen offline fra omkring klokken 20.30 og fire timer frem.

Hostingleverandøren var nemlig under et voldsomt distribueret denial-of-service-angreb, som overbelastede firmaets infrastruktur.

»Det var klart det voldsomste angreb, vi har prøvet. Normalt kan vi klare den slags angreb, uden at kunderne opdager noget,« forklarer Pelle Smidt, direktør for Zitcom, der er Wannafinds moderselskab.

Da den massive mængde fjendtlige trafik begyndte omkring klokken 20 tirsdag aften, gik Zitcoms teknikere i gang med at finde problemet og en løsning. Men det var ikke til at se præcist hvilke IP-numre, trafikken kom fra. Angrebene kunne dog lokaliseres til et amerikansk internetknudepunkt.

Artiklen fortsætter efter annoncen

Undervejs kontaktede Zitcom netværksleverandøren Axcess, og siden blev TDC bedt om hjælp til at få slukket for den overvældende strøm af henvendelser.

»Vi blev lagt så meget ned, at vi måtte kontakte TDC, som så kunne lave en spærring i udkanten af deres netværk. Derfra tog det en halv til en hel time, før vi var oppe igen,« forklarer Pelle Smidt.

Hvorfor angrebet skete, står ikke klart.

»Den amerikanske netværksdistributør, vi lokaliserede trafikken til, er et typisk dataudvekslingssted, så vi ved ikke, hvor angrebet kom fra. Og vi hoster mange forskellige websider, så det er altid et godt spørgsmål, hvorfor vi blev ramt,« siger direktøren.

Artiklen fortsætter efter annoncen

Nu skal procedurerne strammes op, så en tilsvarende situation ikke betyder fire timers nedetid for kunderne.

»Der gik for lang tid, før vi fik fat i TDC. Heldigvis var det om aftenen og natten, hvor der ikke er så mange på nettet,« siger Pelle Smidt.

Han har ikke planer om at opgradere trafikkapaciteten efter angrebet.

»Vi har 60-70 procents overkapacitet, så vi er i stand til at klare de fleste angreb. Denne gang var situationen unik, synes jeg, fordi angrebet var så voldsomt,« siger direktøren.

33 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
18. september 2009 kl. 13:29

Hvordan kan man vide at de med sikkerhed ikke var målet, når man ikke kan se hvilken side det drejer sig om.

13
18. september 2009 kl. 15:28

Til Kjeld Flarup Christensen.

Hver server hoster en eller flere kunder/domæner/..., så det er bare at slå op hvilke servere der bliver angrebet og hvilke domæner der hører til den.

/Andrew

2
18. september 2009 kl. 10:56

Hvordan kan 60-70 % overkapacitet gøre dem i stand til at klare de fleste DDoS angreb?

"60-70%" overkapacitet, er ikke meget, når der er tale om et DDoS angreb.

6
18. september 2009 kl. 11:59

Hvordan kan 60-70 % overkapacitet gøre dem i stand til at klare de fleste DDoS angreb?</p>
<p>"60-70%" overkapacitet, er ikke meget, når der er tale om et DDoS angreb.

Dem kommer jo faktisk helt an på hvor stor kapacitet de har. ;-)

Hvis de kun har 2 gbit/s så er 60-70% overkapacitet bestemt ikke meget, har de derimod hat samlet 200 gbit/s så er 60-70% overkapacitet jo en hel del mere.

4
18. september 2009 kl. 11:36

Næh, men det er en afvejning af omkostninger kontra risikoen for DDos angreb.

7
18. september 2009 kl. 12:28

Nu læser jeg ofte 180grader og liberator.dk og begge er ofte udsat for driftsforstyrrelser.

Jeg ved også at begge projekter er low budget, men stærkt provokerende for specielt venstrefløjen.

Derfor vil det da ikke undre mig om en af disse eller begge var target.

3
Indsendt af Anonym (ikke efterprøvet) den fre, 09/18/2009 - 11:35

Lidt analogt med tale om cyberwar/cyberterror, så synes jeg det kunne være en rigtig god idé at dykke ned i følgende 2 problemstillinger:

  1. Hvad var target? Uanset hvad man tror, så var target vel ikke UE/Wannafind som virksomhed, men formentlig nogle 'provokerende' hjemmesider.

  2. Hvor kom det fra? Jo, jeg har tidligere været inde på, at det kan være bot'er, eller inficerede hjemmesider.

Ad 1: Dem, der har adgang til log's osv, burde vide om target var en enkelt hjemmeside, eller blot de angiveligt 130.000 hjemmesider.

Det ville klæde TDC/Wannafind/Unoeuro, at oplyse om dette.

Ad 2: Hmm...

Men det var ikke til at se præcist hvilke IP-numre, trafikken kom fra

Nåh - så man kan ikke se hvilke IP adresser der er origin? Jo, som tidligere nævnt (i andre indlæg), så er det umuligt at spore oprindelsen, hvis DDoS attackes er fabrikeret ved injection af eller , men hvis det er den slags, så burde der være en del information i referrer (tror jeg nok, gider ikke teste).

Men hvorom alting er, så vil jeg gætte på, at disse ting vil tiltage.

Nu får vi jo sikkert aldrig en forklaring/årsag jfr. pkt 1, men jeg vil gætte på, at 'visse lande' er sure på NATO, og den nye sekretærs tilhørsforhold til Danmark.

5
18. september 2009 kl. 11:58

Dem, der har adgang til log's osv, burde vide om target var en enkelt hjemmeside, eller blot de angiveligt 130.000 hjemmesider.

Ikke nødvendigvis. Selvom ens mål er et konkret websted, så vil mange DoS-angreb rettet sig mod serveren generelt og ikke det konkrete domænenavn.

9
18. september 2009 kl. 12:58

Ikke nødvendigvis. Selvom ens mål er et konkret websted, så vil mange DoS-angreb rettet sig mod serveren generelt og ikke det konkrete domænenavn.

Men ikke desto mindre kunne man måske se et mønster udfra logfilerne og på den vis give et bud på om det var rettet mod bestemte domænenavne

11
18. september 2009 kl. 13:31

Det kommer meget an på typen af angreb og formålet.

Hvis jeg umidelbart skulle designe et DoS-angreb ville det nærmere være en tilvalgsmulighed at kunne se specifikt hvilket domænenavn jeg angreb end et fravalg.

Og hvis der er tale om et angreb der peger mod en bestemt kunde, vil jeg mene at det mest ansvarlige vil være at tage kontakt til de konkrete kunder fremfor at føre sig frem i pressen.

1
18. september 2009 kl. 10:45

Heldigvis var det om aftenen og natten, hvor der ikke er så mange på nettet.

Det er jo også en holdning at have. Men så ved jeg da det om Zitcoms prioriteringer. Hvis vores webhoteller var offline fra kl. 20 og 4 timer frem tror jeg nok vi ville blive mindst lige så upopulære som hvis det var fra kl. 06 og 4 timer frem...