Danske Ebisu Networks har udviklet et system, der kan spore netværksangreb fra orme eller hackere på store netværk som eksempelvis internetudbydere.
Det bruges til at spore angrebene, inden de kommer ud af kontrol, og så det bliver mere overskueligt at dæmme op for problemerne.
- Der er ikke noget med, at et eller andet begynder at gå langsomt, og man så først skal finde ud af, hvor fejlen er, og hvad den skyldes, siger direktør Casper Larsen fra Ebisu.
I stedet sender alle internetudbyderens routere trafikinformationen videre til Ebisus system, som analyserer pakkerne og finder de mønstre, der eksempelvis kendetegner en orm.
- Når vi ser på trafikmønstrene, der går gennem routerne, behøver vi ikke kende en orm i forvejen, fordi vi ved, hvordan en orm opfører sig. Vi kan ikke være helt sikre på at finde alt, men det, vi kigger efter, vil være ret ekstremt, siger Casper Larsen.
Bruges af kundeservice
Systemet startede som et system til detaljeret at registrere kundernes internetforbrug for internetudbydere. Det er den samme teknologi, som nu bruges til også at spore netværksangreb og orme.
Første kunde, som systemet er udviklet til, er TDC Song, som leverer internetforbindelser til store erhvervskunder og boligforeninger.
Her bruges systemet blandt andet af selskabets kundeservice til at kunne identificere angreb mod kunder.
Fordi systemet startede som et system til at afregne forbruget, ligger kundens information også i systemet, så kundeservice-medarbejderne kan se, hvilken kunde der er ramt og ikke bare en router eller IP-adresse.
Når et angreb opdages, kan TDC Song kontakte kunden og få sat en stopper for problemet, før det når en størrelse, hvor det generer andre kunder.
Rider stormen af
Hos TDC Song sker sådanne alvorlige angreb et par gange om året mod kunder.
- I princippet er det uden for vores ansvarsområde at stoppe orm hos kunderne, siger teknisk direktør Dan Andersen fra TDC Song.
Selvom et angreb kan stoppe en enkelt kundes internetforbindelse godt og grundigt til, skal der meget til, før det går ud over andre kunder hos internetudbyderen.
TDC Songs netværk er kraftigt nok til at ride stormen af fra et angreb, men kunden kan hurtigt få problemer med sit netværk, hvis det bliver angrebet af en netværksorm som eksempelvis Slammer eller Sasser.
- Orme belaster routere og switche, fordi de hele tiden sender til nye IP-adresser. Så selvom det ikke fylder så meget kilobyte-mæssigt, så er det alligevel rart at have et orme-frit netværk, siger teknisk direktør Henrik Thygesen fra Ebisu.
Omdirigeres til antivirus
Mens TDC Song blot kontakter kunderne og fortæller dem, at de er ramt af en orm, som en ekstra service, så er sagen anderledes for andre af Ebisus kunder.
Selskabet leverer også systemer til netværk i boligforeninger. Her er der ofte trængsel om netværket, samtidig med en interesse i at undgå at betale for unødvendig trafik fra orme.
Derfor er næste skridt for Ebisu at koble overvågningen sammen med midlerne til at fjerne en inficeret pc, så den ikke belaster netværket.
Selskabet forhandler med en stor antivirus-leverandør om et samarbejde, hvor en inficeret internetbruger omdirigeres til en hjælpeside, hvor der findes et program til at fjerne den pågældende orm, samt mulighed for at købe et antivirus-program.
- Det bliver en del af mulighederne i vores administrationsprogram til bynet. Vi har lavet det meste, men mangler at få det sidste på plads med en sikkerhedspakke til slutbrugerne, siger Casper Larsen.
