Rekordstort DDoS-angreb kan have brugt verdensomspændende zombie-netværk af usikre IoT-enheder

Nogen har et botnet med en kapacitet, vi ikke har set før, siger sikkerhedsekspert om kæmpeangreb.

Sikkerhedsblogger Brian Krebs blev tirsdag aften ramt af et usædvanligt stort DDoS-angreb med det formål at skyde bloggen KrebsOnSecurity.com i sænk.

Ifølge sikkerhedsvirksomheden Akamai var angrebet tæt på dobbelt så stort som det største angreb, de har set tidligere, og blandt de største DDoS-angreb på internettet nogensinde.

Bemærkelsesværdigt lykkedes det ikke bagmændene at hive it-bloggen offline takket være Akamais eksperter, skriver Brian Krebs.

Læs også: DDoS-bagmænd arresteret efter kæmpe databaselæk

Det største angreb som sikkerhedsselskabet har set hidtil, skete tidligere på året og mønstrede 336 Gigabit trafik i sekundet. Tirsdag aften blev KrebsOnSecurity imidlertid mål for ikke mindre end 665 Gbps.

Samtidig var angrebet usædvanligt udført, forklarer Martin McKeay, der er senior sikkerhedsrådgiver hos Akamai.

Den tidligere rekordholder - og typisk også historiens andre store DDoS-angreb - blev skabt af et botnet, der har forstærket et mindre angreb gennem såkaldt reflection. Metoden går grundlæggende ud på at udgive sig for at være den server, man vil ramme, og sende forespørgsler til andre servere. Fordi en lille DNS-forespørgsel kan generere et langt større svar kan man på den måde forstærke den reelle trafik betydeligt.

Læs også: DDoS-angreb på 9 fronter og 470 Gbps ramte kinesisk internetkasino

Angrebet mod KrebsOnSecurity ser imidlertid ud til at være udført næsten udelukkende af et botnet af hackede enheder, skriver bloggeren. Trafikken bestod primært af web-kommandoer som SYN, GET, POST samt trafik designet til at ligne såkaldt GRE-data, en kommunikationsprotokol, der bruges til at etablere forbindelse direkte mellem to punkter i et netværk.

»At se så meget af angrebet komme fra GRE er meget usædvanligt. Vi er kun for nyligt begyndt at se det, og at se det i denne her volumen er meget nyt,« fortæller Martin McKeay.

Fordi ovenstående metoder kræver en legitim forbindelse mellem angriber og offer, peger dataet på, at bagmændene har brugt et stort netværk af hackede systemer - muligvis hundrede tusind systemer.

Læs også: Dansk fiberudbyder om raffineret DDoS: Vi skal blokere de 'rigtige' forkerte pakker

»Nogen har et botnet med en kapacitet, vi ikke har set før. Vi har set på trafikken fra angrebs-systemet, og det kommer ikke bare fra en region eller fra en mindre gruppe netværk - det kom alle steder fra, siger« Martin McKeay.

Analysen indikerer, at en del af angrebet kommer fra et botnet af et stort antal usikre IoT-enheder.

Endelig skriver Brian Krebs, at en del af angrebspakkerne indeholdt strengen ‘freeapplej4ckk’. Teksten refererer til en ung israeler, der under navnet AppleJ4ck har stået bag en DDoS-service. Brian Krebs offentliggjorde tidligere på måneden data som afslørede AppleJ4cks civile identitet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Nielsen

I den oprindelige artikel står der bare...

There are some indications that this attack was launched with the help of a botnet that has enslaved a large number of hacked so-called “Internet of Things,” (IoT) devices...

Det er da faktisk ret interessant at vide, hvad de præcist bygger formodningen på.

  • 1
  • 0
Bent Jensen

Men måske skulle man samle IP hvor angreben kom fra, kontakte deres IPS men information. Så kan de blokere de enheder som er angrebet ind til de er rene.

Så vil sådan et angreb også koste angriberen, en stor del af deres "net" og dermed også blive dyr for dem ?

Eller det sker måske ?

Hvis ISP ikke får rettet op på problemet, så gør som med TDC for mange år siden. Hvor man lukket deres udgående post port. Eller/Og redirecte alt trafik fra de berørte IP'er til en hjemmeside med besked om at deres system er kompromitteret, og hvis de gerne vil ud i verden igen. Så må de se at fjerne "bots" fra deres udstyr.
Det er ikke nok med en advarsel, mange vil være lige glad med en sådan, for deres Net virker jo,

  • 0
  • 0
Kenn Nielsen

Sagen er klar.
Vi bør alle lade os overvåge - konstant.

Derved kan Pind's kumpaner - outsourcet til 3.land, naturligvis - nemt(tm) frasortere alle os der ikke har noget at skjule.

Tilbage er de famøse IoT.

Problem solved !

/sur sarkastisk fredagsironi

K

  • 0
  • 3
Log ind eller Opret konto for at kommentere