Computerworld News Service: Distribuerede denial of service (DDoS)-angreb er ikke noget nyt.
Virksomheder har lidt under den slags lige siden begyndelsen af den digitale tidsalder.
Men DDoS har tilsyneladende fundet vej tilbage til overskrifterne i løbet af de sidste seks måneder takket været højt profilerede angreb og to vigtige forandringer i den måde, som angrebene er skruet sammen på.
Målene er de samme - private virksomheder og regerings-hjemmesider. Motivet er som regel pengeafpresning eller at lægge forhindringer i vejen for en konkurrerende virksomhed eller en upopulær regering.
Mere udbredte - og mere voldsomme
Men angrebene er blevet mere udbredte og alvorlige. Det skyldes ikke mindst botnettenes levedygtighed og det skifte, der er sket fra tidligere at målrette angrebene mod ISP-forbindelserne til nu at rette umiddelbart uskyldigt udseende forespørgsler mod serverne selv.
Andy Ellis, der er sikkerhedsdirektør ved Akamai Technologies i Cambridge, Massachusetts, fortæller, at de botnet, der står bag mange af tiden DDoS-angreb, er så omfattende, at bagmændene sandsynligvis har mistet overblikket over antallet af maskiner for lang tid siden. (Hør hele interviewet med Andy Ellis i podcastet 'The Long, Strange Evolution of DDoS Attacks'.
Andy Ellis har haft et godt udgangspunkt for at holde øje med udviklingen. Mange mennesker bruger Akamais tjenester uden at vide det. Virksomheden leder en global platform, som tusinder af mennesker bruger hver eneste dag, når de gør forretninger på internettet.
Virksomheden håndterer for øjeblikket flere milliarder web-interaktioner hver eneste dag for selskaber som Audi, NBS og Fujitsu og organisationer som det amerikanske forsvarsministerium og Nasdaq.
Der er sjældent et øjeblik - om nogen overhovedet - hvor en Akamai-kunde ikke er i fare for at blive angrebet.
Antallet af 'fire and forget' falder
"Vi ser meget færre af den slags malware-baserede 'fire-and-forget'-angreb, der er designet til at smadre de inficerede maskiner," fortæller Andy Ellis med en reference til old-school angrebs-orme som Blaster, Mydoom og Code Red. "Nu bliver malwaren i stedet brugt til at indfange maskiner til botnet, og botnettene er det egentlige våben."
I løbet af det sidste år har Akamai oplevet nogle af de største DDoS-angreb i nyere tid. Andy Ellis beskriver dem som "kæmpemæssige angreb på mere end 120 gigabyte per sekund." Det er ikke rart at være mål for sådan et angreb, understreger han.
Et godt eksempel er det angreb, der fandt sted i weekenden omkring 4. juli sidste år. Et botnet bestående af 180.000 computere gik i kødet på forskellige regerings-hjemmesider og skabte massive hovedpiner for virksomheder i USA og Sydkorea. Angrebet startede lørdag, hvor det lagde den amerikanske handelskommissions hjemmeside ned sammen med hjemmesiden for transportministeriet.
US Bancorp, der er USA's sjettestørste kommercielle bank, fik også slag. Bagmændene gik desuden efter virksomheder som Google, Yahoo! og Amazon.com.
Angrebet mod Google holdt ikke længe, men når man tænker på, at Google står for omkring fem procent af indholdet på internettet, så er udsigterne ved et mere substantielt angreb, der kan ramme internettets største aktører, ganske alvorlige.
Paul Sop, der er teknologi-direktør ved Prolexic Technologies, har set, hvilken effekt botnettene har haft på DDoS-angrebene fra sin plads i virksomheden, hvor omkring 30 ingeniører arbejder med at undersøge problemet.
"Vi har opbygget en IP-omdømme-database, der sporer ikke-forfalskede IP-adresser, der angriber vores kunder, og listen omfatter nu omkring fire millioner inficerede computere," siger han. "Det mest overraskende er, hvor mange botnet der egentlig findes, og hvor nemt det er at bygge nye."
Han tilføjer, at virksomheden desuden ser flere og flere layer-7 angreb mod http, HTTPS og DNS-tjenester. Den slags angreb straffer ikke brugerens USP-forbindelse. I stedet straffer de serverne og er langt sværere at identificere og stoppe, specielt fordi den individuelle bot opfører sig mindre aggressivt og højere grad som legitim bruger-trafik.
De fleste af de angreb, hans hold har holdt øje med, kan bedst klassificeres som sabotage fra konkurrerende virksomheder."
"På visse typer markeder, som for eksempel online-spil, der er meget populære i Asien, findes der en heftig konkurrence og en del DDoS-angreb," siger Paul Sop. "Politisk motiverede angreb er desuden også blevet mere populære, og vi har beskyttet mange både små og store nyheds- og medie-bureauer."
Som regel handler det om en enkelt nyhed, som udenlandske hackere finder stødende, men nogle gange, som ved angrebet af 'the Democratic Voice of Burma', kan angrebene siges at være statssponsorerede, eller i hvert fald stats-godkendte.
I en ny rapport om botnet-genererede DDoS-angreb, fortæller Prolexic, hvordan bagmændene justerer i botnettene for at få angrebene til i højere grad at ligne almindelig og legitim trafik.
"I stedet for et pludseligt udbrud af trafik, der markerer, hvornår angrebet starter, vil trafikken nu langsomt begynde at stige, mens flere og flere bots træder til i vilkårlige intervaller. Hver bot varierer sin angrebs-stil, og det gør det langt sværere at identificere en bot i forhold til en almindelig bruger," lyder det i rapporten.
Oversat af Marie Dyekjær Eriksen
