Overraskende få enheder var kilde til DDoS-angrebet i fredags

Illustration: Virrage Images/Bigstock
En analyse af Dyn viser, at antallet af enheder der lagde DNS-netværket ned, var langt mindre end først antaget.

Godt en uge efter det store DDoS angreb, der fredag lagde flere store websites ned, har DNS-udbyderen Dyn haft tid til at analysere angrebet.

Læs også: Kinesiske produkter med standardkodeord involveret i gigantisk IoT-DDoS

Meget overraskende viser det sig, at Dyn blev lagt ned af omkring kun 100.000 Mirai inficerede hjemmeenheder. Det skriver The Register.

I den seneste analyse skriver produkt chef for Dyn, Scott Hilton, at de stadig arbejder på at analysere data, men på nuværende tidspunkt estimerer de, at der er tale om op til 100.000 ondsindede endpoints.

»Vi kan bekræfte, at en signifikant mængde af angrebet stammer fra Mirai-baserede botnets,« skriver Scott Hilton.

Tidligere har Dyn været ude at sige, at de ansvarlige enheder gemte sig bag millioner af ip-adresser, selvom det sammenlagte antal kaprede webcams, routers og andet udstyr var langt mindre.

Nu ved vi, at det egentlige antal er omkring 100.000 hvilket henleder til spørgsmålet: Hvordan kunne angrebet blive en succes?

Scott Hilton siger, at en af grundene er, at DNS har tendens til at forstærke anmodninger fra legitime kilder.

En af virkningerne ved angrebet var eksempelvis, at det skabte en storm af legitim aktivitet, da servere konstant forsøgte at genopfriske deres cache.

Det resulterede i at trafikken steg med 10 - 20 gange den normale volume samtidig med, at trafikken var spredt ud over et stort antal ip-adresser.

»Når der opstår trafikpropper på DNS, hjælper gentagne legitime anmodninger ikke på trafikproblemet,« siger Scott Hilton og fortsætter:

»Stormen leverede så at sige en falsk indikator, som viste, at der var tale om et langt større antal endpoints, end der egentlig var - og det slukkede ‘relæet’.«

Samme effekt ledte også til, at andre virksomheder tidligt rapporterede på omfanget af angrebet.

Nogle rapporterede, at omfanget af angrebet var på 1.2Tbps, hvilket Dyn på daværende tidspunkt ikke kunne bekræfte.

For at være beredt på fremtidige angreb fortæller Scott Hilton, at man arbejder sammen med andre udbydere af internet-infrastruktur.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere