Nu topper de voldsomste DDoS-angreb på 100 gigabit pr. sekund

De største distribuerede denial-of-service-angreb topper nu helt oppe på 100 gigabit pr. sekund. I mange tilfælde ender firewallen som en flaskehals på grund af den måde, den er placeret i netværket.

Bagmændene bag distribuerede denial-of-service-angreb har skruet styrken helt op til 100 gigabit pr. sekund. Det er en fordobling i forhold til de største angreb, der blev registreret for et år siden. Det skriver sikkerhedsfirmaet Arbor Networks i en ny rapport.

Arbor Networks har spurgt en række større netværksoperatører, som rapporterer, at de i 2010 så angreb på op til 100 gigabit pr. sekund rettet mod DNS-servere.

Den kraftige optrapning sker formentligt som reaktion på, at netværksoperatører som hostingfirmaer og internetudbydere har fokuseret deres forsvar på at beskytte mod mindre intense angreb, og angreb der går efter applikationslaget, altså datacentrene frem for selve netværket.

Selvom angrebene er kraftige, så er netværksoperatørerne typisk i stand til at omgå et angreb på under 20 minutter. Til gengæld svarer hele 72 af operatørerne, at de aldrig afholder øvelser for at teste deres beredskab.

I halvdelen af netværksoperatørernes datacentre var der opsat firewalls og Intrusion Prevention Systems foran serverne. Det er imidlertid et dårligt valg, advarer Arbor Networks. Enhver enhed, der skal analysere data, er sårbar over for et DDoS-angreb, og en firewall kan derfor komme til at sidde som en prop i flaskehalsen på netværket under et angreb.

Derfor bør man sørge for at placere firewallen bag eksempelvis en router med indbyggede muligheder for at afbøje et DDoS-angreb via ACL eller lignende teknikker, som er mere hårdføre.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Carsten Olsen

Problemet med DOS angreb er at "snoren" bliver blokeret af uønsket data (ip-pakker). Altså er det bedst at sætte ind ved droppe pakker så tæt på DOS-angriberen som muligt. (f.eks. ved at ip-routere ser på "om det kan passe at denne source-adresse kommer ind på dette net-kort" (interface) hvis ikke så drop den. Problemet med DDOS angreb er at mange tusinde inficerede Windows maskiner angriber en server fra "nabolaget" af serveren (det er altså meget vanskeligere at detektere at afsender adressen er falsk) men det er der råd for: Hvis nu alle private Danske Internet rutere sætter en begrænsning på hvor mange TCP Connect der kan oprettes i minuttet (fra hver PCer på LANet) på f.eks. 60 pr minut. Så vil de it-kriminelle ikke længere kunne bruge inficerede Windows PCere som våben. Denne løsning kan kaldes "reverse firewall" (Ruteren bekytter ikke længere lokale pcere mod det "slemme Internet" men nu er det Internettet der bekyttes mod "den slemme lokale Windows PC")

  • 0
  • 0
#5 Jesper Henriksen

Men er det en begrænsning du reelt set gerne vil have? Det vil f.eks. voldosmt begrænse World of Warcraft(herefter wow) patches og aden torrent trafik. Før jeg får tudet ørene fulde om at torrents er ulovlige, så tænk på at det bliver brugt til at distribuerer Linux over, og vel nok det største og mest kommercielle brug af det = wow patches. Der er langt imellem patch systemer der fungerer ligeså godt som wow patcheren. Alt dette beror på at torrents typisk har flere hundrede forbindelser åbent. Så en begrænsning på 60 forbindelser i minuttet vil reelt set give en stor begrænsning af dit internet.

Personligt ville jeg skifte en router med den begrænsning ud hvis jeg havde mulighed for det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere