One.com er ved at være på benene igen, efter et stort DDoS-angreb satte ind fra omkring klokken 8.30 fredag morgen, rettet med den danske hosting-leverandør. Angrebet har voldt problemer for en del af virksomhedens kunder i hele verden, ligesom det har været svært at tilgå One.com’s egen hjemmeside.
»Vi har en række peering-punkter rundt om i Europa til forskellige internet-exchanges. Den struktur har vi netop opbygget for at imødegå denne slags situationer. Alle disse punkter er under angreb. Det virker meget voldsomt og meget koordineret. Det er omfattende, og det har stået på i lang tid,« siger talsmand og direktør hos One.com, Thomas Darré Medard Frederiksen.
Han fortæller, at virksomheden nu har inddæmmet angrebet så meget, at det kun skulle være omkring 0,05 pct. af de mere end én million kunder, der stadig er berørte af angrebet.
Læs også: One.com lagt ned af massivt DDoS-angreb
»Dette angreb er overraskende voldsomt. Det er aldrig noget, vi har set før,« siger Thomas Darré Medard Frederiksen.
Når det alligevel er lykkedes at sende One.com til tælling, trods virksomhedens oprustning i forhold til netop den slags situationer, så hænger det formentlig sammen med typen af angreb. Det er nemlig foregået ved at udnytte en sårbarhed i de såkaldte NTP-servere til tidsstyring, der står rundt omkring på nettet.
Version2 har tidligere beskrevet sårbarheden, som kan bruges til at forstærke et DDoS-angreb mange gange. Det kaldes amplification og teknikken kaldes DRDoS eller Distributed Reflective Denial of Service. Det reflekterede element består i, at en angriber sender en pakke til en sårbar NTP-server, som sender en pakke, der er mange gange større, videre til målet for angrebet.
Ifølge den amerikanske it-sikkerheds-varslingstjeneste US-Cert, der for nyligt udsendte en advarslen om teknikken, kan datamængderne forøges med mere end 500 gange på grund af sårbarheden i NTP-servere.
»Ja, det er relateret til NTP. Langt hovedparten af angrebet kommer fra NTP-servere rundt omkring på internettet, som ikke er patchede. I øvrigt er alle vores egne servere patchede i forhold til denne NTP-sårbarhed,« skriver Thomas Darré Medard Frederiksen i en opfølgende mail til Version2.
Han kan på nuværende tidspunkt ikke sige noget om antallet af IP-adresser, der måtte have været involveret i angrebet.
Leave a Reply