Stofa og Fullrate forværrer effekten af DDoS-angreb - kun Telenor og TDC hjælper reelt kunderne

Illustration: Virrage Images/Bigstock
OPDATERET Fagfolk kritiserer de internetudbyderes, der lukker netforbindelserne i op til et døgn efter DDoS-angreb. Lukker man ned for den angrebne router i så mange timer, kan det forøge et gennemsnitligt DDoS-angrebs effekt med faktor 140.

Der er stor forskel på, hvad de enkelte internetudbydere gør for kunderne i tilfælde af, at de angribes med DDoS. To store selskaber forværrer i realiteten angrebet ved at holde forbindelsen lukket i op til et døgn, mens andre reelt går ind og afbøder angrebet.

Det viser en rundspørge foretaget af Version2.

Læs også: Dagligt får op til 100 danskere lammet deres internetforbindelse af personlige chikane-angreb

Et DDoS-angreb virker kort sagt ved, at angriberen stresser offerets internetforbindelse så meget, at offeret ikke kan komme på internettet. Hensigten med angrebet er altså at afskære målet fra internettet.

Det er derfor ikke underordnet, om offerets internetudbyder lukker for forbindelsen i 1 time eller 24.

Hvis udbyderen lukker forbindelsen i et helt døgn, kan et typisk DDoS-angreb, der i gennemsnit varer omkring ti minutter, pludselig skade den angrebne i 24 timer.

Udbydere: Vi er nødt til at lukke ned

»Vi er nødt til at nulroute den private forbindelse i yderkanten af vores netværk for at sikre os, at andre kunder eller måske endda hele vores netværk ikke påvirkes af angrebet,« siger Steen Garbers Enevoldsen, som er udviklingschef hos Fullrate.

Ifølge ham og hans konkurrent fra Stofa er der som slutbruger ikke meget andet at gøre end at bide tænderne sammen i 24 timer, skulle man blive DDoS-angrebet.

Men sådan er det ikke nødvendigvis, for flere udbydere har en anden praksis.

Nogle nulrouter kun en time ad gangen, som DanskNet, mens man hos Bolignet nulrouter, indtil en medarbejder vurderer, at der skal åbnes igen. Hos Telenor tildeles kunden en ny IP, men hvis angrebet sker om natten eller uden for arbejdstid, kan forbindelsen være nulroutet i op til 15 timer. Hos Telia har man en helt tredje løsning, der gør, at kun meget kraftige angreb kræver en nulrouting, og som teknisk minder om TDC's løsning, som er forklaret herunder.

Længerevarende nulrouting unødvendig

»Som udgangspunkt er 24 timer unødvendigt lang tid, men omvendt kræver det en betydelig mængde tid for medarbejderne at åbne og lukke et par gange i timen,« siger direktør for Solido Networks Henrik Kramshøj, der godt forstår, at ikke alle internetudbydere magter korte nulroutinger.

TDC og Yousee skruer blot markant ned for båndbredden til den angrebne forbindelse. Denne metode kræver dog avanceret hard- og software, som TDC og Telia som storleverandører har større mulighed for at skaffe midler og mandskab til. Det er ifølge Henrik Kramshøj ikke noget, man som mindre internetudbyder vil have råd eller knowhow til.

Henrik Kramshøj efterlyser desuden Open Source, der kan hjælpe internetudbydere med at overvåge trafikken, da nuværende løsninger er ganske omkostningsfulde, især for små udbydere.
Med en billig og effektiv måde at overvåge netværket på ville man nemlig kunne lave kortvarige nulroutinger uden at bruge arbejdskraft på det.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Emil Moe

Lukker de min forbindelse et døgn og jeg skal bruge den, forventer jeg en fornuftig kompensation på mere end tilbagebetaling af nedetiden, ellers er jeg videre til det næste selskab ret hurtigt.

Mikkel Mikjær

Denne artikel handler om en situation hvor vi var blevet angrebet af en af udbyderes kunder, angrebet påvirkede ikke vores drift men der gik selvfølgelig nogle alarmer og vi bruge tid på at efterforske angrebet.

http://www.specialhosting.dk/tag-abuse-henvendelser-seriost/

Vi oplever den her slags situationer tit, 2-3 gange om ugen måske, og den normale procedure er at udbyderen i den anden ende siger pænt undskyld og får stoppet angrebet.

Ole Sanvig

Nu har jeg ikke lige forstand på DDoS, men burde det ikke være muligt for ens intenret udbyder at opfange alle de IPer der "angriber" og cutte forbindelsen til dme i stedet for offeret? Eller kan et DDoS skjule sin reele IP for internet udbyderne?

Hele pointen med et DDoS er jo der første "D" for distribueret - det er ikke 1, 5 eller 20 IP-adresser, der bombarderer dig. Det er måske 1000 eller 10.000 - afhængigt af, hvor meget angriberen har været villig til at betale til et botnets ejer for at sætte i værk. Og det er ikke nødvendigvis de samme IP'er, der spammer med requests. Det kan hurtigt blive en lang kamp op ad bakke at forsøge at blokke angribende IP'er ud.

Kenneth Rasmussen

@Ole Sanvig - Jeg er godt klar over vi snakker om mere end 1 pc, men hvert botnet er vel på internettet igennem en ISP og de IPer der opsnappes må da kunne afkobles og ejeren bør stå til ansvar afhængig af omstændighederne.. botnets er store fordi der reelt set ikke bliver gjort nok for at holde dem nede fra ISPer.. Hvis du har en pc på dit netvækr der er inficeret, så lukker du da heller ikke de 10 andre maskiner ned indtil den inficerede er clean.. Så går du da efter den der er inficeret og cutter dens forbindelse og evt dens strøm om nødvendigt..

Mikkel Mikjær

Kenneth, det ville virke hvis internet udbyderne var forbundet direkte med hinanden. Men det er de jo ikke, der kan nogen gange være mange led mellem den angribne ISP og angriberens ISP ... en given ISP har typisk mellem 5 og 10 indgående linier, de små har måske kun 2. Sjældent vil angrebet være begrænset til en af disse linier.

Løsningen er dog kendt, men det kræver at man gider at gøre sig umage med sin sikkerhed. https://tools.ietf.org/html/rfc5635 "Remote Triggered Black Hole Filtering"

Kenneth Rasmussen

@Mikkel Mikjær - Jeg er skam godt klar over det ikke er så simpelt, men lad os sammenligne socialt udsatte børn med dette.. Der er der rigtigt mange kommuner med rigtigt mange ansatte der skal kunne samarbejde og gøre det bedste for banret.. Det samme gør sig gælende på nettet. Jeg siger ikke internettet skal masse overvåges, men DDoS gør jo skade på større plan end fx fildeling af en film.. Hvis ISPerne kommunikerede sammen ja fx igennem et lukket system så kunne de da hurtigt lukke forbindelserne som deltager i DDoS og smide opgaven videre til firmaet eller personen der har udstyr på den følgende IP/adresse...

@Kristian Klausen - Det bedste man kan gøre selv er at logge IPerne og anmelde det..

Baldur Norddahl

Denial of service angreb skal man blokkere for hurtigst muligt, men decideret hackerangreb er en sag for politiet. Skal jeg side og være dommer, jury og bøddel på en sag? Hvad nu hvis brugeren nægter at det var ham, så har vi ord imod ord og han er betalende kunde og det er du ikke. Der kan også være tale om at et yngre familiemedlem står bag, gæster, åbent wifi og meget andet, og hvis kunden ikke er teknisk kyndig, så kommer du bare ikke ret langt med det.

Hvor går grænsen? Skal vi også smide kunder af nettet når vi modtager en automatisk abuse mail fra rettighedsalliancen?

Almindeligvis vil jeg videresende din mail til kunden. Men jeg smider ham ikke af nettet medmindre det er åbenlyst at der er trafik, der skader vores eller andres net og kunden ikke får sat en stopper for det selv. Vi laver aldrig straffeaktioner for noget der er stoppet - det er igen en sag for politi og domstole hvis der er nogen der skal straffes.

Baldur Norddahl

@Kenneth - det er muligt at forfalske IP-adresser. Hvis vi havde et system der automatisk smed botnets af nettet, så kan jeg denial of service dig simpelthen ved at sende botnet pakker i dit navn ved at sende pakker med din IP-adresse som afsender.

Der er botnets med mere end 100.000 computere. Hver enkelt skal efterforskes og internetudbyderen kontaktes. Det vil være internetudbydere over hele verden, og nogle af dem er ligeglade eller kører på "autopilot". Og alt imens du arbejder på at ryde op i det botnet, så bliver der kontinuerligt smittet nye computere. Det er forsøgt mange gange, men selv med en ganske stor indsats når du aldrig til bunds i det.

Der er eksempler på at man har fanget bagmændene og herefter har politiet kunne overtage kontrollen med et botnet. Så kan man instruere botnettet i at lukke for sig selv permanent.

I stedet for følge IP pakkerne, så følg pengestrømmen. Politiet køber et lille DDoS angreb og forsøger herefter at spore hvor pengene går hen. Med lidt held finder man bagmændene. Det er den eneste måde at stoppe dem på. Ikke at der ikke også er problemer med at følge en sådan pengestrøm.

Mikkel Mikjær

"Almindeligvis vil jeg videresende din mail til kunden. Men jeg smider ham ikke af nettet medmindre det er åbenlyst at der er trafik, der skader vores eller andres net og kunden ikke får sat en stopper for det selv. Vi laver aldrig straffeaktioner for noget der er stoppet - det er igen en sag for politi og domstole hvis der er nogen der skal straffes."

Jeg tror du skal prøve at læse mit indlæg igen, hvis der er noget du ikke forstår så prøv og spørg istedet for at gætte.

"Hvor går grænsen?"

Grænsen går ved at du som ISP selvfølgelig skal gøre alt hvad der står i din magt for at sikre dit netværk, herunder sikre at dit netværk ikke bliver brugt til at angribe andre med.

Hvis du har en kunde der misbruger sin forbindelse skal det selvfølgelig stoppes, kutymen i branchen er at du som isp tager fat i din kunde og får taget hånd om problemet, i 80% af tilfældende er kunden selv hacket og bliver blot brugt som relay.

I resten af tilfældende er det en teenager der har læst en guide på nettet, som sider og leger uden at vide hvad han har gang i.

Fortæl mig lige igen hvorfor vi skal spilde politiets ressourcer på det?

"Skal vi også smide kunder af nettet når vi modtager en automatisk abuse mail fra rettighedsalliancen?"

Nej du skal bede din kunde pænt om at indstille sin aktivitet, hvis kunden nægter dette og/eller hævder at kunden ikke bryder loven, må du meddele dette til klageren, og det vil så være op til denne at starte en politi- og eller retssag hvis man ønsker dette.

Baldur Norddahl

Jeg tror du skal prøve at læse mit indlæg igen, hvis der er noget du ikke forstår så prøv og spørg istedet for at gætte.

Ok så lad mig spørge: Hvad er det jeg ikke har forstået?

Lad mig gøre det klart at vi ikke er sat i verden for at lege politi og dommer over for vores brugere.

Vi beskytter vores eget netværk imod misbrug og vi forsøger at være gode netcitizens, men vi vil ikke blandes ind i en disput mellem dig og en af vores brugere.. Dine anklager om hacking activitet vedrører ikke os. Hvis ikke det er en sag for politiet, så er det hellere ikke en sag for os. Beklager.

Derfor tager vi ingen aktion på anklager om hacking ligesom vi hellere ikke håndterer anklager om piratvirksomhed. Det er altså din egen opgave. Hvis du mener det er et problem, så skriver du en anmeldelse til politiet. Hvis ikke, så lad være med at forvente at der sider et hold efterforskere klar på abuse@isp som gider gøre arbejdet for dig.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder