Dagligt får op til 100 danskere lammet deres internetforbindelse af personlige chikane-angreb

Det er simpelt, billigt og effektivt at overbelaste og dermed lamme privatpersoners internetforbindelse. Den angrebne er praktisk talt forsvarsløs og kan ikke gøre andet end at vente på, at angrebet stilner af.

Hver dag oplever et sted mellem 40 og 100 danskere personlige DDoS-angreb mod deres private internetforbindelse, server eller hjemmeside. Det viser en rundspørge hos de største internetudbydere foretaget af Version2. Resultatet af et angreb er en ubrugelig forbindelse, indtil angrebet går over.

»Det er rigtig, rigtig nemt at iværksætte, kan købes for ingen penge, og som angrebet privatkunde er man i bund og grund nødt til bare at vente på, at angrebet stilner af,« siger teknisk sikkerhedschef hos TDC Lars Højberg om den nye form for chikane.

En chikane, som Stofas driftschef Michael Lund Jensen, kalder 'en trussel mod internettet'.

Det er oftest folk, der ytrer sig kontroversielt på nettet, gamere eller små virksomhedsejere, der er mål for angrebene. Medmindre man ønsker at betale mere end ti gange så meget for sin internetforbindelse, er der ikke meget hjælp at hente. Tværtimod er internetudbyderen nødt til at lukke den angrebne forbindelse for at skåne resten af netværket.

For helt ned til fem dollar kan du købe et forholdsvist massivt DDoS-angreb mod en given IP-adresse, der varer en hel time, skriver TDC i en rapport, hvori TDC skitserer truslen fra DDoS-angreb.

Sådan fungerer et DDoS-angreb

Et DDoS-angreb overbelaster en internetforbindelse, router eller hjemmeside og sørger dermed for, at den angrebne ikke kan få adgang til internettet. Det er irriterende, og angrebene er ofte timet, så de rammer, når målet har allermest brug for forbindelsen.

Chikanøren har flere muligheder for at gennemføre et angreb. Nemmest er det blot at købe det. Da behøver angriberen ikke sætte sig ind i hverken det tekniske og eller det sikkerhedsmæssige. Chancen for, at lejesvenden bliver afsløret, er minimal. Muligheden for, at angrebet spores direkte til den betalende angriber, er endnu mindre.

Vil man selv udføre angrebet, findes der både Youtube-videoer og skriftlige guides i hobevis, der skridt for skridt instruerer den angrebslystne. Kan man forstå engelsk og copy-paste-kommandoer i CMD, kan man udføre et DDoS-angreb, der er kraftigt nok til at lægge de fleste private forbindelser ned.

Der er ligefrem eksempler på kommentarspor på Youtube, hvor folk i skrivende stund beder andre om at angribe bestemte IP-adresser – og hvor der i fuld offentlighed erklæres, at nu er det enkelte angreb udført.

Internetudbydere lukker angrebne forbindelser

Hvis en forbindelse angribes, lukker internetudbyderen stort set helt for den, og Version2's rundspørge viser, at det er den generelle praksis blandt udbyderne.

»Det, vi gør, når vi lukker en kunde ned, er, at vi nulrouter forbindelsen. Dermed skaber man en virtuel blind vej, som den alt for tunge trafik så kører ned ad. Gør vi ikke det, risikerer vi, at forbindelsen til et helt område lukker ned, og de helt store angreb udgør faktisk en trussel for hele vores netværk,« siger driftschef hos Stofa Michael Lund Jensen, der beskriver DDoS som et stort problem for internettet som koncept.

»Internettet er anarkistisk, og DDoS bruger inficerede computere i hele verden til at gøre det hårde arbejde. Så selvom vi i Danmark er nogenlunde med i forhold til at sørge for at dæmme op for udgående angreb, så ser det helt anderledes ud i andre lande,« siger Michael Lund Jensen.

Hvis den enkelte kunde ikke er afhængig af en specifik IP-adresse, kan kunden tildeles en ny IP-adresse. På den måde kan kunden fortsat bruge internettet, men siden angrebene oftest varer under en time, når udbyderen sjældent at reagere.

Der findes desuden flere internetløsninger til virksomheder, der indeholder en beskyttelse mod DDoS-angreb, der virker uden at nulroute forbindelsen, men de er for omkostningstunge for private kunder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mads Lorenzen Journalist

Hvis du har en tilpas god router, kan du sortere i IP-adresserne, der kan sende anmodninger til dig, men du vil sandsynligvis blot opleve, at nye IP'er kommer til, hver gang du lukker en.
Til gengæld kan du logge de angribende IP'er og melde dem til politiet. Jeg har ikke kunnet finde noget eksempel på en dom, der ikke handlede om et angreb mod en offentlig instans eller hjemmeside.

Jacob Rasmussen

Hvad kan man gøre som privatperson?
Kan man gøre noget teknisk i sin router/firewall? Eller bare undlade at afsløre sin IP-adresse?

Man kan undlade at afsløre sin IP adresse, fx ved at gå på nettet med en TOR browser. Ud over det, er der ikke meget andet at gøre.

Husk på at de store ISP'ere har adskillige opkoblinger til udlandet til rådighed, i 10 - 100 Gbit klassen. Din private Internet opkobling er i størrelsen 2 - 100 MBit. Du skal selv bruge download kapaciteten for at kunne opretholde forbindelsen til Internettet, uanset om du blot 'surfer' og henter mail, eller om du har en server stående med din hjemmeside eller mailhotel.

Når du bliver angrebet med DDOS, sender et stort antal afsendere, så meget trafik, at din lille private opkobling bliver mættet totalt. Routeren du foreslår at ændre i, står først efter denne opkobling, og på dette tidspunkt er det stort set for sent at gøre noget.

Det eneste du kan håbe på, er at blokere selve angrebet, samt de pakker der bliver brugt til at spore om du er online. I så fald kan man håbe på, at angriberen nedskalerer trafikmændgen, da der jo ikke er nogen forretning i at sende mere trafik, end højst nødvendigt. Hvis du kører lokal server er det dog ikke nogen løsning. Så er det jo nemt at se om hjemmesiden virker eller ej, og du kan ikke rigtigt blokere for angrebet, uden at pille hjemmesiden af nettet også.

Markus Hornum-Stenz

..der kommer lovgivning, ordenhåndhævelse og straf på dette område også?

Jeg tænker at der vel er lige så mange "white hats" som "black hats", som vil få et kick ud af at opspore og afstraffe langt de fleste af de frustrerede tåber, som kan finde på at bestille og udføre disse angreb.

Men det bliver der selvfølgelig ikke mindre Big Brother af....

Steen Garbers Enevoldsen

Mads, det hjælper ikke at blokere for bestemte IP'er i din firewall, da DDOS af natur kommer fra tusindvis af IP adresser (Det første 'D' står for Distribueret). Og selv hvis det lykkes dig at blokere for en stor nok range (hvis f.eks. alle de angribende maskiner er i Kina) så er skaden sket før din firewall kan gøre noget ved det, da linket ned mod dig bliver fyldt med DDOS trafikken, så der er ikke plads til anden trafik.

Gert, det er ikke mangel på omsorg der gør, at ISPen nul-router din IP adresse, det er netop omsorg for alle de andre kunder på din netværksnode. En DSLAM, med et par hundrede kunder har måske et uplink på 2Gbps, og hvis angrebet er voldsomt nok, kan det dermed betyde at alle kunder på den pågældende DSLAM mister forbindelsen til nettet. DDOS er en konsekvens af internettets opbygning. Vi så f.eks. et angreb mod en enkelt kunde for et par uger siden, hvor angrebets størrelse var helt oppe over 13 Gbps. Hvis ikke man som ISP reagerer i sådan et tilfælde, kunne det lægge en hel central ned.

Der findes teknologier som muliggør 'vask' af trafikken under et DDOS så kunden kan fortsætte med at benytte sin forbindelse, men det er meget omkostningstungt, og ville gøre prisen for din linje alt for høj. Desuden virker det heller ikke 100%. Selv store virksomheder med masser af penge til alt det mest fancy beskyttelse er ikke usårlige. Se f.eks. http://news.sky.com/story/1387871/playstation-network-hacked-by-lizard-s...

Husk: DDOS rammer ikke tilfældigt. Det koster penge at iværksætte en DDOS kampagne mod en IP, så 99,9% af tilfældene er angrebet bevidst sigtet mod den IP som der rammes (og i 0,1% af tilfældene taster angriberen en forkert IP adresse :) )

Hvad kan du gøre for at undgå DDOS?

Opfør dig ordentligt på nettet! Hvis du fremturer provokerende, så kan DDOS være konsekvensen. Uanset hvordan du opfører dig er det selvfølgelig ikke OK at DDOS'e dig, men du skal bare være opmærksom på risikoen. Præcis på samme måde, som hvis du sviner og provokerer på en bar, risikerer du at få "nogen på gummerne" :)

Hvis du f.eks. hoster en hjemmeside med holdninger som kan virke provokerende kan DDOS være de "anderledes tænkendes" måde at undertrykke dit budskab. Hvis det er meget vigtigt for dig at være online med en sådan type hjemmeside, bør du sørge for at hoste den på en hostingservice som tilbyder DDOS protection (det koster ekstra).

Hvis du er debattør som oplever DDOS angreb som følge af dine posts/indlæg bør du benytte VPN eller TOR.

Du kan også overveje at have en backup forbindelse i form af f.eks. et 4G mobil bredbånd abonnement, men det er lidt overkill bare at have liggende i skuffen med mindre du ofte rammes af DDOS, og det er trods alt fåtallet af danskerne som oplever det.

I kan læse lidt om hvordan Fullrate håndterer DDOS på dette link.
https://forum.fullrate.dk/forum/support/nyheder-annonceringer/3517-h%C3%...

Steen Enevoldsen, Udviklingschef, Net.
Fullrate A/S

Thomas Nielsen

Ja, sikkert. Problemet er at grænsen mellem white og black er temmelig flydende, alene i kraft af betragteren. Desuden er en hvid hat bestemt ikke ensbetydende med at man også har viden og kompetence til at fange "den rigtige" og så er en ny uskyldig bruger pludselig under angreb.

Gert G. Larsen

Tak for et grundigt svar Steen. Jeg er godt klar over det har nogle omkostninger at vaske trafikken, og at det nok er overkill for private forbrugere. Jeg synes bare TDC's bemærkning var lidt flabet :-)

Det er en meget pragmatisk holdning, at jeg bare kan opføre mig ordentligt. Det er rigtigt nok, men det må aldrig blive den "endelige" løsning på problemet. Som i den fysiske verden; "Du kan bare holde dig væk fra nørrebro, hvis du vil undgå at blive beskudt" - "Jamen hun gik jo udfordrende klædt..." osv.

Kjeld Flarup Christensen

For at det her kan være et problem, så kræver det altså at man har åbnet for en eller anden service ud mod internettet. Har man ikke det, så kan man ligeså godt bruge en ISP med dobbelt NAT (carrier grade), således at der ligger en NAT hos ISP'en. På den måde vil ethvert angreb stoppe hos ISP'en

Bruger man dynamisk IP, så kan man release sin IP, og bagefter få en ny. Så er der sikkert en anden sagesløs person som får den ramte IP.

Ellers er der ikke noget man kan gøre. Selvom routeren sættes til at blokere for trafik, så vil DDOS pakkerne stadigt komme frem til routeren og dermed er linien lagt død.

Så er det kun ens ISP som kan hjælpe.

Steen Garbers Enevoldsen

Hej Gert,
Det kan virke som om jeg siger at det er din egen skyld, og at du bare kan opføre dig ordentligt.

Og det forstår jeg godt kan provokere. Men det er et velment råd til dig som bruger. På grund af internettets virkemåde er det teknisk simpelt at angribe, og teknisk svært at beskytte mod (denne type) angreb. Samtidig er det i dag blevet særdeles let at bestille angreb. Der findes direkte DDOS-as-a-service hjemmesider derude, hvor du på få minutter for en meget lav pris kan bestille et angreb mod en IP adresse.

Det er gået fra, at du skulle være et dumt svin der ved noget om netværk til at du bare skal være et dumt svin.

Sådan ser verden ud på internettet i dag: "The bad guys" har rigelig adgang til våben, og risikoen ved at benytte dem er forsvindende lille. Der er ingen grund til at gøre sig selv til et oplagt mål, og derfor giver jeg det råd om generelt at opføre sig ordentligt.

Nu skal vi ikke ud i et indlæg om "tonen i debatten", men prøv at kigge i et tilfældigt internetforum. Flame-wars forekommer ofte, og der er ikke alle der kan holde sig til at debattere i en ordentlig tone. Det er din soleklare ret at tale som du har lyst til, men DDOS er en mulig konsekvens. Like it or not.

Vi vil som ISP selvfølgelig gøre hvad vi kan for at mindske følgeeffekterne af den slags angreb. Idag er løsningen null-routing/blackholing men hvis fremtiden skulle byde på alternative løsninger som for en pris der kan retfærdiggøres for et consumer produkt, jamen så vil markedskræfterne sikre at det vil blive implementeret hos ISP'erne.

Indtil da, kan vi udvide det gode gamle citat: "Never argue with an idiot. He will bring you down to his level and beat you on experience" til "Never argue with an idiot. He will bring you down to his level and beat you on experience, and then DDOS you"

:)

Steen Garbers Enevoldsen, Udviklingschef, Net
Fullrate A/S

Thomas Johansen

Hvis en ISP opdager én af deres kunder (med dynamisk ip) bliver DDoS-angrebet, burde ISP'en vel hurtigst muligt og ganske automatisk give en ny dynamisk ip til kunden og ligge den ramte ip på hold nogen dage. Dette burde kunne løse problemet for de fleste private kunder, ret hurtigt og forholdsvis smertefrit.

Hvis en kunde bliver DDoS-angrebet er der så en "lampe der blinker" hos ISP'er? Eller opdager de det først når kunden fortæller om det?

Fast ip og websider er noget helt andet.

Benjamin Bach

Hvad kan du gøre for at undgå DDOS?

Tak for det gode indlæg!

Jeg ville her tilføje, at man kan gøre alt for at computere, man har ansvar for, ikke bliver til DDOS-robotter.

Findes der i øvrigt i den forbindelse nogen eksempler på ISP'er, der blokerer IP ranges pga. DDOS-angreb? Rent umiddelbart kunne det virke fornuftigt, men ideen indebærer sygt mange problemer udi censur, misbrug og økonomiske incitamenter (net-neutralitet).

Steen Garbers Enevoldsen

Tak for det gode indlæg!

Du er velkommen. Det er et interessant emne, og jeg er stor tilhænger af åbenhed, så spørg endelig løs og jeg vil prøve at svare efter bedste evne. Der er selvfølgelig specifikke implementeringsmæssige detaljer som jeg ikke vil have ud - da det kan give angriberne mulighed for at skræddersy deres angreb. Men ellers er der nogenlunde frit slag :)

Jeg ville her tilføje, at man kan gøre alt for at computere, man har ansvar for, ikke bliver til DDOS-robotter.

Her har du fat i noget af det helt rigtige! Og det er ikke kun brugernes ansvar, men burde i lige så høj grad være ISP'ernes efter min personlige mening. Man kan ikke forlange at alle brugere har et tilstrækkeligt vidensniveau til at sikre at deres maskiner ikke er inficerede, og derfor bør de have hjælp.

Men det er en balance, hvor kundernes ret til privacy skal holdes i hævd. Jeg ønsker ikke at vide hvad mine kunder laver på nettet, det er helt deres egen sag. Derfor foretager vi ikke nogen form for analyse af hvilken trafik der går gennem en kundes link.

Derfor har vi ikke direkte mulighed for at detektere om du er en drone ved at kigge på dine data, der flyder gennem vores net. Vi gør det derimod indirekte ved at benytte eksterne services der overvåger internettet for tegn på bl.a. bot-nets og malware-inficerede webservere. Hvis en af vores IP adresser bliver detekteret af dem får vi besked og kan reagere derefter.

Hvis der klages over en IP i et af vores ranges vil vi selvfølgelig også undersøge den sag, og eventuelt reagere over for kunden.

Det er heldigvis et ret sjældent forekommende fænomen at FR kunder er droner for tiden, men det sker. Vi tager så fat i kunden og beder dem rette op på problemet.

I ekstreme tilfælde, med mange gentagelser kan kundens linje lukkes og kundeforholdet opsiges. Det er mig bekendt ikke sket - i hvert fald ikke i min tid i virksomheden. Langt de fleste mennesker bliver jo bare glade for at få besked. Det er sjældent frivilligt at man har en maskine der styres af andre :)

Hvis jeg må tillade mig et mindre skulderklap på branchens vegne, er vi i Danmark rimelig gode til at holde styr på den slags. Det samme gør sig desværre langt fra gældende for mange andre steder i verden.

Hvis nu alle ISP'er i verden ville følge op, og på tilsvarende vis og søge at sikre, at deres kunder's maskiner ikke laver ballade, ville problemerne med f.eks. DDOS være langt mindre.

Findes der i øvrigt i den forbindelse nogen eksempler på ISP'er, der blokerer IP ranges pga. DDOS-angreb? Rent umiddelbart kunne det virke fornuftigt, men ideen indebærer sygt mange problemer udi censur, misbrug og økonomiske incitamenter (net-neutralitet).

Jeg tvivler. De problemer du selv opridser umuliggør det.

Benjamin Bach

Man kan ikke forlange at alle brugere har et tilstrækkeligt vidensniveau til at sikre at deres maskiner ikke er inficerede, og derfor bør de have hjælp.

Men det er en balance, hvor kundernes ret til privacy skal holdes i hævd. Jeg ønsker ikke at vide hvad mine kunder laver på nettet, det er helt deres egen sag. Derfor foretager vi ikke nogen form for analyse af hvilken trafik der går gennem en kundes link.

Steen Garbers Enevoldsen, tak igen for et godt indlæg. Jeg kan godt li' den løsning, du præsenterer: ISP'er skal have lov til at censurere deres egne kunder ved at lave en 100% ufiltreret nedlukning af deres forbindelse, hvis man kan detektere uden at snoope på indholdet af data, at kunden deltager i DDOS -- det burde ikke stride mod netneutralitetsprincipper.

Det, du i øvrigt siger i indlægget, kan det tolkes som at FR er modstandere af deep packet introspection?

Steen Garbers Enevoldsen

Steen Garbers Enevoldsen, tak igen for et godt indlæg. Jeg kan godt li' den løsning, du præsenterer: ISP'er skal have lov til at censurere deres egne kunder ved at lave en 100% ufiltreret nedlukning af deres forbindelse, hvis man kan detektere uden at snoope på indholdet af data, at kunden deltager i DDOS -- det burde ikke stride mod netneutralitetsprincipper.

Dog med den præcisering, at blokering først kommer på tale efter gentagne henvendelser ikke har resulteret i handling fra kunden. Det er jo trods alt stadigvæk ikke en bevidst handling at være en del af et bot-net. Hvis der var tale om anden type angreb, hvor det er en bevidst handling der lægger bag, kan blokeringen være mere prompte.

Det, du i øvrigt siger i indlægget, kan det tolkes som at FR er modstandere af deep packet introspection?

Fullrate foretager ikke DPI på vores kunder - Det er jeres data, ikke vores!

Ork, jeg gemmer løbende masser af information om hver eneste kundes linje. I øjeblikket gemmer vi i omegnen af en halv milliard stykker information i døgnet om vores kunders linjer, men der er tale om information om udstyrets helbred, linjens kvalitet, seneste periodic inform til ACS serveren, DHCP events, snmp traps, osv. Tonsvis af statistikker, som vi bruger til at holde øje med om alt virker som det skal, og hvis vi ellers er dygtige nok giver det os mulighed for at rette eventuelle problemer før kunderne opdager dem. Det lykkedes ikke altid, men det er ambitionen.

Når det gælder indhold og destinationer for data gemmer vi information i henhold til de gældende love om hvad en ISP skal gemme. Hverken mere eller mindre. Det er ikke noget vi selv har glæde af - hvad skulle vi dog bruge det til?

Når vi en gang imellem kigger på data vil det være i forbindelse med debugging af fejl i udstyret - men det vil jo foregå i samarbejde med den pågældende kunde. Hvis vi nu forestiller os at du ringer til supporten med et problem der er netværksrelateret, og det ikke umiddelbart kan løses af supporteren, vil det ende i netværksafdelingen. Her er det et naturligt værktøj, at vi laver dumps af trafikken for at kunne analysere os frem til årsagen. Hvis vi ikke kunne gøre det, ville vi ikke være i stand til at rette problemerne, og de pågældende dumps gemmes naturligvis ikke efterfølgende.

Jeg interesserer mig for om dine data flyder fejlfrit, men er fuldstændig ligeglad med indholdet. Så giv den bare gas! :)

Log ind eller Opret konto for at kommentere