Hjælp: Massivt DDoS-angreb truer med at lukke lille dansk mailudbyder

Illustration: leowolfert/Bigstock
Siden søndag har et stort DDoS-angreb sønderbombet virksomheden smtp ApS i sådan en grad, at mail-tjenesten ikke har kunnet fungere. Nu frygter indehaveren at forretningen må lukke.

»Vi er et lille firma, der er i forbrydernes vold.«

Sådan lyder det fra en berørt Hans Jul Larsen, indehaver af mail-virksomheden smtp ApS, som siden søndag omkring midnat har været ramt af bølger af DDoS-angreb. Nu frygter han, at han må lukke sin syv år gamle virksomhed, som følge af angrebet.

Virksomheden har ca. 3.000 kunder. Siden angrebene begyndte, har der været problemer med at anvende tjenesten, der bliver brugt til udsendelse af eksempelvis nyhedsbreve eller marketingmateriale - ikke spam, som Hans Jul Larsen understreger. Han fortæller, at smtp ApS, som lignende virksomheder, har afvist kunder, fordi de har misbrugt tjenesten til udsendelse af netop spam.

Han har ikke umiddelbart noget bud på, hvem der skulle stå bag angrebet.

»Jeg har ikke nogen fjender i det her marked.«

Sammen med hostingfirmaet bag domænet, Fab-IT - der også er berørt af angrebet - forsøger smtp ApS at finde på en løsning, der kan stoppe det. Foreløbigt uden det store held. Blandt andet har de skiftet ip-adresser, men DDoS'et skifter også hurtigt til de nye adresser. De forsøger sig blandt andet også med ny router-hardware.

Angrebet størrelse er til at tage og føle på. Således fortæller Hans Jul Larsen, at de har registreret pakker fra omkring 250.000 ip-adresser, der altså har lagt forretningen ned.

»Jeg kan ikke sige noget præcist andet, end vi arbejder 24 timer i døgnet for at løse problemet, men vi er oppe i mod så stærke kræfter, at det er en svær kamp,« siger han.

Og henvendt til Version2's læsere:

»Hvis der sidder nogen derude med en idé, så kom med den.«

Har du et bud på, hvad Hans Jul Larsen kan gøre for at stoppe angrebet, så skriv det i debatten herunder, eller send en mail til redaktionen@version2.dk - så videreformidler vi kontakten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Mads Jakobsen

Arbejdede tidligere et sted hvor de var udsat for noget tilsvarende hvor den kunde dey berørte førte trafikken gennem prolexic i et stykke tid og så sidenhen skiftede ip'er.

Hvad det koster har jeg ingen ide om. http://www.prolexic.com/services-dos-and-ddos-protection.html

Et eller andet sted ville jeg umiddelbart også mene at fab-its udbyder burde kunne null-route ip'erne de bliver angrebet fra, men er ikke så skarp i den del af stakken.

  • 0
  • 0
#5 Kenneth Østrup

Jeg kunne godt tænke mig som læser, at høre lidt mere om de specifikke angreb. Det vil gøre det meget nemmere for os, at komme med konkrete råd og vejledning.

Er det et flooding angreb i forsøg på at fylde internetforbindelsen eller et mere specifik angreb på deres services som stjæler ressourcer fra deres server?

Der er to typer flooding angreb som jeg oplever er meget populære for tiden:

  • DNS Amplification Attack
  • NTP Reflection Attack

CloudFlare har faktisk nogle rigtig gode artikler om de to typer angreb: http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-a...

Hvis jeg skal antage, at her er tale om et flooding angreb, ville jeg som smtp ApS henvende mig direkte til udbyderen og høre om angrebet overstiger deres kapacitet. Og om der er noget de kan gøre i denne situation.

Det er vigtigt at forstå, at al denne trafik skal modtages på udbyderens border netværk, før den kan afvises. Hvis det ikke kan lade sig gøre, så har man et problem.

Null-routen er sidste udvej, som beskytter udbyderen og udbyderens andre kunder. Når null-routen er brugt er angrebet fuldført.

  • 2
  • 0
#6 Torben Petersen

Er enig med Mads, Prolexic kan være et godt valg, de har scrubbing centre i hele verden, garanterer en "clean pipe" på ned til 10 minutter, men afhængigt af det konkrete problem kan udfordringen måske løses med andre værktøjer også. (NB! jeg arbejder hos forhandleren af Prolexic i Danmark - AddPro A/S vi har praktisk, dokumenteret erfaring i at løse problemer med DDoS)

  • 2
  • 0
#7 Hans Kristian

Altså når jeg gerne vil undgå DDoS angreb for nogle af mine services er det vigtigeste af alt, at min IP ikke bliver vist nogle steder. En cloudflare opsætning er i dette tilfælde en rigtig fornuftig ting. Det forlyder sig at de vist var oppe imod et 300GB/S og holdte sitet online. (Spamhaus)

For når de ingen IP har så har det ikke noget sted at angrebe. Det eneste de kan angribe er cloudflares og der sige jeg good luck :) (Sandhed med modificeringer. Der er stadig Layer 7 attacks.. I know)

Derudover har i jeres SMTP gøjl til at sende mails. I alle mails ligger der en header med en IP hvor den kommer fra. Den kan de selvfølgelig kigge på også se hvad jeres rigtige IP er. Her kan i benytte jer af nogle spoofing tricks for at undgå det.

  • 1
  • 0
#9 Hans Jul

Status er at der stadig angribes på IPs. Vi har noteret inputs og vil helt sikkert gå efter nogle af løsningsforslagene. Indtil da takker vi for kundernes tålmodighed og beklager de er taget som gidsler i et game der ikke vindes nemt.

  • 0
  • 0
#11 Henrik Kramselund Jereminsen Blogger

Han må da om nogen kunne fortælle dem, for en lille skilling selvfølgelig, hvad de kan gøre osv...

tak tak, de kan også starte med at læse de gamle indlæg som f.eks. http://www.version2.dk/blog/hvad-er-ddos-distributed-denial-of-service-1...

Jeg har også en præsentation med konkrete råd på Github https://github.com/kramshoej/security-courses/tree/master/presentations/...

En de vigtigste sider fra den PDF er side 17, som er Defense in Depth, og man bør straks gå igang.

Full disclosure, vi er internetudbyder og har kunder som bliver angrebet jævnligt, og hmmm sorry deltager i angreb grundet eksempelvis fejlkonfiguration.

Det første man bør gøre er at sikre sig bedst muligt ved at gennemgå alt, og gerne skrælle DDoS traffik gennem flere enheder. Det betyder at vi bruger uRPF på routere - for det er de gode til. Et MPC til Juniper MX kan klare ~160Gbps i hardware og checker forwarding table - og er der ingen returvej kan pakkerne smides væk. Det fjerner helt tilfældige sourceadresser hvor der ikke findes routing entry i den globale BGP tabel.

Dernæst på stateless firewalls kan man smide en masse trafik væk til porte man ikke bruger, faktisk anbefales som altid positivliste. Så traffik til eksempelvis en /24 som bruges til web loadbalancing har en allow 80/tcp,443/tcp og resten smides væk.

Så kan man ellers begynde at se på netværkets normale traffik, du har vel en baseline i dine netflow data :-D, og bemærke at hmm ICMP og UDP bruges jo ikke så meget. Skal jeg tillade 10Gbit UDP ind ad et 10Gbit interface, nej vel! YMMV men hvis du i routeren skriver ind at der må være 1Gbit UDP og hmmm 100Mbit ICMP? Det rækker til langt det meste!

Vi er nu kun nået forbi routeren og der er tilsvarende mange ting man kan pille ved på firewalls - ikke alle vores kunder har 100.000 samtidige sessions, så en max-pr-destination 100.000 gør at andre kunder ihvertfald ikke berøres, men den kunde kan stadig lide.

Nu vil det føre for vidt at gennemgå alt, men hvis du går igang nu er du langt bedre stillet!

Det betyder også at du måske slipper for at null-route de pågældende kunder som angribes. Null-route betyder jo at du smider al traffik væk til bestemte IP'er, og trist for den kunde, men resten af din forretning vil jo gerne køre videre. NB: man kan via BGP informere upstreams, så null-route sker allerede udenfor ens eget netværk - så kommer det slet ikke over transitforbindelsen.

Så man kan gøre mange ting, og ja, Prolexic og Cloudflare er nogle cloud udbydere, til hardware er det oftest de sædvanlige firewallubydere som Checkpoint, Cisco, Juniper, Fortinet, Clavister, Palo Alto m.fl. men også F5 Networks har nogle fede bokse sammen med de andre loadbalancing udbydere. Arbor Networks som er meget dyre benyttes også i Danmark af flere udbydere.

Vi har med stor success oplevet at vores enheder (nu) lever langt bedre og er mere responsive under angreb, og det er ikke en invitation, tak. NB: ovenstående er uden beregning, men vi sælger også gerne en DDoS test hvor vi simulerer 100Mbit-10Gbit og op til ca. 10 millioner pakker per sekund, det får de fleste vi har testet til at hoste lidt :-D

PS Jeg arbejder på at lave en DDoS konference til efteråret, hvor jeg håber vi kan få de relevante udbydere med så stay tuned!

  • 11
  • 0
#12 Morten Borg

Vi har selv oplevet 1+ Gbit UDP floods - så voldsomt at selv vores, meget kraftige, DDoS boks bukkede under.

Løsningen blev at tage fat i vores linje leverandør, TDC, og få dem til at lukke ned for alt indgående UDP trafik på linjen.

Det virkede og der har ikke været problemer siden.

Men hvis det er et TCP angreb hjælper det naturligvis ikke - men det tvivler jeg på det er, det er meget atypisk.

  • 0
  • 0
#13 Bryan Østergaard

Jeg har (desværre) erfaring med at blive DDoS'et og angreb i dag kan være rimeligt voldsomme og til tider langvarige. De fleste angreb jeg selv oplever ligger omkring 20-25Gbps og over 100k pakker per sekund.

Den gode nyhed er at der er kommet en del services som f.eks. CloudFlare og ProLexic mv. CloudFlare er ret billige men tager så reelt set også kun hånd om DNS og HTTP(s) trafik.

Der ud over så gælder det om at filtrere trafiken før den rammer jeres netværk og gerne så langt væk fra jeres netværk som muligt. Hvis i har et godt forhold til jeres provider så kan de formentligt godt hjælpe med det.

Der ud over så sørg for at samle så meget information som muligt om angrebet. Det hjælper i forbindelse med filtrering af trafikken og er også basis for at kontakt med abuse contacts for de netværk trafikken kommer fra hvis source addresserne ikke er spoofede (som det f.eks. er tilfældet med DNS amplification).

Endelig så findes der en del firmaer / organisationer der specialiserer sig i at tracke botnets og andre former for internet kriminalitet som ofte kan være behjælpelige. Jeg har et par gange henvendt mig til en af de organisationer som inden for få minutter har kunnet fortælle mig hvor command & control centralen var, hvad der blev brugt af passwords til C&C centralen og at de var gået i gang med at få lukket botnettet ned.

Så selv om det ofte kan virke ret håbløst i situationen så er der adskillige tiltag man selv kan tage. Og husk så at tænk fremtidige angreb ind i jeres infrastruktur når det hele er overstået og der er blevet lidt mere ro om tingene.

  • 0
  • 0
#15 Baldur Norddahl

Og husk så at tænk fremtidige angreb ind i jeres infrastruktur når det hele er overstået og der er blevet lidt mere ro om tingene.

Det er så pænt svært hvis der er tale om 20-25 Gbit/s fra tilfældige adresser. Kun de større udbydere har nok upstream kapacitet til at modtage så meget trafik.

Jeg har i hvert fald ikke råd til at bestille 40 Gbit/s porte hos mine transitleverandører.

Så længe de holder sig under 10 Gbit/s, kan jeg gøre brug af de teknikker som Henrik beskriver. Men hvis de går over det, så er der stort set kun black hole route tilbage. Så kan jeg i det mindste sørge for at mine andre kunder stadig har net.

  • 0
  • 0
#16 Bryan Østergaard

Nej, det er ikke svært at tænke det ind i infrastrukturen. Og det er ikke svært at sikre sig procedurer for hvordan man håndterer angreb fremover.

Pointen er ikke at man skal have mere båndbredde end ethvert tænkeligt angreb, men der i mod at man skal overveje om dele af ens infrastruktur eventuelt kan tåle at blive taget ned (og frigive lidt båndbredde / sysadmin tid) til mere kritiske dele af ens infrastruktur osv.. Man kan for eksempel også flytte sin DNS til Cloudflare (det er gratis hvis det er alt man har behov for) osv.

Der er mange måder ens infrastruktur kan gøres mere eller mindre robust for angreb uden at man nødvendigvis smider mere båndbredde efter det.

  • 0
  • 0
#20 Leif Neland

Det er måske ikke liiige målgruppen for Project Shield...

Project Shield is an initiative launched by Google Ideas to use Google´s own Distributed Denial of Service (DDoS) attack mitigation technology to protect free expression online. The service allows other websites to serve their content through Google’s infrastructure without having to move their hosting location.

Project Shield is currently invite-only, and seeking additional ´trusted testers´. Organizations with sites serving media, elections and human rights related content are invited to apply using the form below. Please find more information about the initiative here.

  • 0
  • 0
#21 Brian Hansen

I og med det også er blevet ret hyppigt at DDoS'e private IP'er (????), hvem har så egentligt ansvaret hvis linjen bliver nuked i så hårdt et omfang at den er direkte ubrugelig? Der skal ikke mange script kiddies til med LOIC eller lignende skrammel til at pille en gennemsnits ADSL eller fiber af nettet! En kollegas knægt på 8år(!) havde en Minecraft server kørende til ham og hans venner. Så dukkede der pludselig "bøller" op fra internettet og forstyrrede spillet. Fair nok, de blev smidt ud. Et par minutter efter var farmands 100mbit fiber lagt død (eller hans router, kender ikke detaljerne). Og det stod ellers på i lidt over et døgn, fordi en eller anden skidespræller ikke fik sin vilje i Minecraft....

  • 3
  • 0
#22 Povl H. Pedersen

Hvilke ISP'er kan man få til at levere en UDP fri linie ? Vi har også oplevet 50+ Gbps angreb, typisk DNS reflection. Og det holder last mile sjældent til. Men TDC vil ikke permanent lukke for UDP længere ude hvor de har båndbredde nok. Hvem skal man tale med hos dem ?

  • 0
  • 0
Log ind eller Opret konto for at kommentere