Det vet man aldrig, det kan det mycket väl vara :D

Eller så kanske det var någon som roade sig med att sno utrustning från ene telestation..

Allt är snöns fel!

En till artikel om händelsen, med en del detaljer:
http://www.idg.se/2.1085/1.298347/sa...-cyberattacken

Just en anledning varför man inte ska köra vanliga brandväggar, för dom klarar inte av så många PPS. Åt andra sidan är 100.000 paket inte alls mycket, normalt brukar man få upp till MILJONER PPS.

Men i vilket fall så skulle denna typen av attack kunnat lösas på 5min utan problem om man har kunskap och lite vettiga saker.

1) Blockera målet till attacken helt
2) QoS och ratelimit antal SYN paket till en fungerande nivå
3) Om varje paket hade samma dst port eller src port kunde man skapat en ACL för matcha på det.
4) Om det var flertal paket från samma src IP kunde man satt en microflow policy för limit antal SYN per IP.
5) Analyserat paketen i raw format för se om dom följer ett mönster, i ipoptions eller TTL värde. Om dom genererades ifrån samma burk eller samma botnät "mjukvara" så är risken rätt stor att allt är samma. Så skulle man kunnat sätta ett L7 filter för matcha på den TTL. Om det skulle vara ett mindre vanligt TTL värde så skulle det inte stört legetim trafik till det IP.
6) Möjligen blockera från det hållen trafiken kommer ifrån bara.

Samt 100.000 PPS är ju inget i trafik mängd ens, om vi räknat ett SYN paket är 62 byte med ethernetramen.

Vilket borde motsvara 45-60Mbit, orkade inte räkna helt exakt. Alltså ingen trafik att prata om alls.

Att det ska ta 45min att ens fatta det är en DDoS är ju bara komiskt.

För mig är det fortfarande ett dåligt skämt hos dom.

Jag hade ofta problem med dos eller ddos där gamla brandväggen inte kunde köra ratelimit. Nu har jag redundanta brandväggar som klarar av synproxy state (spoofed TCP SYN floods) och där man kan sätta max nya state per sekund och totalt, och sedan dess inte haft några problem alls när ddos i denna omfattning kommer, men självklart tror jag inte ens bra brandväggar klarar av flera gbit ddos och mer, men denna ddos känns inte som större än de största jag själv råkat ut för.

Totalt OT men du har inte lust att tala om vad du kör?

Det vill jag av olika skäl inte gå ut med, men det finns många brandväggslösningar där brandväggen stöder failover till en andre samt som är "stateful", dvs hanterar states och som klarar av synproxy state (spoofed TCP SYN floods) samt där man tex kan sätta 200 nya states per ip på en 5 sek intervall samt tex. max 1000 states på ett IP.

Om man jämför dessa attacker med de som tex Google,Facebook och Twitter råkade ut för förra året? Är dessa större eller mindre?
Med tanke på att dessa gick ner och de borde väl ha fullgott skydd ala patrikweb? Eller är det så att Patrickweb och Danielos sitter på utrustning och kunnande vida övertigande teknikerna och hårdvaran hos dessa företag?

Jag tror inte denna attacken var större, men frågan tror jag bara fs-data själva kan svara på, jag känner iaf till många som har brandväggar som inte stöder att begränsa states och synproxy state, den vi hade tidigare kostade runt 60 000 och hade noll stöd.

Läser man IDG så hade dom själv skrivit att den var på 100Kpps, vilket är så lite så jag inte ens skulle märkt av det eller varit förlite för ens märkas på grafer.


Har dock ingen teknisk information av attackerna mot Google,Facebook och Twitter hur dom var, men dom lär ha varit flera 100 tusentals gånger större alla fall.

Enda detalj jag har är att en av mina kunder blev hackade en gång och användes för DDoS emot FB eller om det var Twitter. Men kunden genererade mer än dubbelt så mycket data än 100Kpps som FSdata fick.

Visst har dom betydligt större möjlighet att skydda sig, samtidigt att det kräver betydligt större attacker för kunna sänka dom. Problemet är i regel att attackerna blir så stora så dom även sänker även ISP nät på vägen.

Normalt så är nästan alla FW rena CPU baserade saker, så hur du än gör så belastar du CPU. Även om vissa saker drar mer eller mindre.

Att hantera många state och bygga upp en fet tabell över det tar CPU. Självklart minskar belastningen genom att limit antal nya men även det tar CPU beräkningar.

Av den anledningen vill man ha ASIC baserade saker som du kan sätta ACL + Ratelimit där det inte spelar någon roll om det är 1Mbit eller 1Tbit som kommer. Sedan bara dra nödvändigaste trafiken för det som kan behöva puntas till CPU för att fungera.

För man blir alltid blåst av att köpa en brandväg i regel, du betalar en förmögenhet för inget alls.

Jag lovar att titta på sådana lösningar när de ddos jag råkar ut för inte klaras av i nuläget ;)
Men än så länge fungerar det mer än bra.

Betyder inte det att det redan är för sent, då du med andra ord då råkar ut för samma problem som FS-Data upplevde?

Bara min 2 ören, som man säger...

Nej, eftersom när jag hade samma problem som fs-data för 2 år sedan skaffade jag den lösning jag har idag för mer än ett år sedan och inget tyder på att det inte fungerar hittills.

Problem med vissa IP nu: Driftstörning Nätverksleverantör [2010-03-02 08:59:05]

Vi upplever just nu problem med en av våra internetleverantörer. Detta påverkar kunder med IP nummer som börjar på 89

Trodde det var sådant man hade redundans för, med flera leverantörer? Jobbigt.

FSDATA och redundans ihop är ju bara ett påhitt, dom kör B2 och TDC och har olika IP serier från dom olika.

Uppdatering: 10:05
Vi har nu fått besked från Internetleverantören att avbrottet beror på ett fiberavbrott, vilket sannolikt betyder att en kabel blivit avgrävd eller liknande. Vi har inte fått någon uppskattad tid ännu då det beräknas vara åtgärdat.

Stort suck varit mycket nertid hos dom nu på senaste

Endast pga grov vårdlöshet ifrån deras sida, skulle dom haft riktig redundans skulle det inte spelat något roll.

Beroende på så får du räkna med minst 4h för att lyckas skarva kabeln igen, i bästa fall och beroende på hur viktig den är.

PatrikWeb

Aha trodde deras nya lokaler nere i stan skulle vara bättre än det gamla och allt med diesel redunds skulle finnas. Får köra ner och hämtar filerna tar 5 min :)
Det är företagets hemsida jag jobbar på.

När ddos attackerarna misslyckades kanske dom gav sig på kabeln fysiskt?

Hur många är vi som är drabbade ....?
Är det alla coolocation kunder...

Hela vår sajt vetgirig.nu är nere.
Nån som har nån bra idé hur man snabbt kan sätta upp en ny sajt med info om avbrott och peka om domänen.

/Danne

Vi har bara ett vanligt webbhotell konto hos dom.

Läser man RIPE object för 89 serien så FSDATA-SE-DEDI* så låter som dedikerade servrar.

Men dom har även en 88 serie som med går via TDC.

Men de har ju Dubbelt av allt och diesel för flera dygn?..

Jag säger att det är snöns fel. Tjälen spräcker fiberkablarna.

Kanske blir lite bökigt om du hanterar domänen hos dem, men kan du ändra i dns inställningarna så kan du rikta om domänen till valfri plats, men de finns ju alltid dnsäer som släpar efter också.

---

Varför välja FSDATA?

Garanterad högsta möjliga upptid på samtliga tjänster.

Sveriges bästa support hjälper dig nästan alla dygnets timmar.

Ny serverhall med senaste teknologin och redundans på alla tjänster.

Möjlighet till helt mobil lösning för ditt kontor med Exchange.

----

Bortsett från när de snöar "force majeure".

--

8. F S Data förbinder sig att www-utrymmet och kontot ska vara tillgängligt och fungerande minst 99,9% av den abonnerade tiden. Om www-utrymmet är tillgängligt mindre tid, minskas månadsavgiften med 1/725-del för varje påbörjad timme som www-utrymmet ej är tillgängligt (utöver 0,1 %). Prisreduktion och tillgänglighetsgaranti är årsbaserat. Några ytterligare ersättnings- eller skadeståndsanspråk kan ej ställas mot F S Data vid otillgängligt eller obrukbart www-utrymme. F S Data kan aldrig åläggas att ersätta större belopp per månad än motsvarande månadsavgift. Om felet ligger utanför F S Data:s möjlighet till kontroll och felavhjälpning utgår ingen ersättning. Det åligger www-gästen att själv påtala otillgängligt www-utrymme samt ersättningsanspråk för detta (enligt punkt 8).

---
Räknas de som utanför deras kontroll? Vad är deras kontroll? Om en it tek spiller kaffe på servern?

Haha nu börjar nåt hända men Vår sida flyttas till www.fs-data.se

Frågan om force majeure kan gälla om det är grov vårdlöshet och inkompetens inblandad samtidigt med falsk marknadsföring.

Visst finns det säkert personer som hävdar att en ADSL anslutning och ett 3G modem räknas som en redundant anslutning men.

"Garanterad högsta möjliga upptid på samtliga tjänster." Falsk marknadsföring och mer åt bedrägeri.

"Sveriges bästa support hjälper dig nästan alla dygnets timmar." Vad ska räknas som nästan alla timmar? Att ha stängt support 10 timmar varje dygn/vardag vet jag inte kalla nästan alla timmar.

"Ny serverhall med senaste teknologin och redundans på alla tjänster." Med falsk marknadsföring. Möjligtvis redundans på inkompetens.


Så vill man driva det vidare kan man säkert lyckas vinna emot dom.

De har pekat om domäner som låg på den fiberanslutning som låg nere.
Så nu måste internetsleverantörer cache uppdateras innan vi ser sidan annars pekar den om till fs.data.se startsida

Inte bra

OT: Snö isolerar = mindre tjäle...?

Det här med säkerhet i allmänhet och "redundans" i synnerhet borde ses över hos många. Verkar vara ett ord vars betydelse undermineras av väldigt många tjänsteleverantörer. T.ex. hade Loopia problem med DNS:erna för ett tag sedan. Är det inte elleverantören så är det internetleverantören som felar...

Tror många får skriva om; "Garanterat 99,5% tillgänglighet [liten_text]på minst 50% av vår verksamhet[/liten_text]" för det är ju tydligen så "redundans" ofta definieras... Bara hoppas man tillhör rätt sida av de 50% då.

Vad är det för vits med dubbla linor om de ändå inte kör BGP? :/

Intressant fråga Björn. Men det är väl klart att de måste köra BGP om de har flera linor? Men med eller utan flera linor så är ju så att även om man kan skydda sig mot ddos attacker - så är de stora nog får de flesta svårt...

När det gäller DDOS så hjälper det väl inte med BGP (bortsett från att man kan sluta annonsera ut attackerade adresser).

I det här senaste fallet gällde det dock att flera av deras nät gick ner p.g.a. kabelbrott.

Som jag uppfattade Citynetworks senaste nyhetsbrev har det varit likadant där med ett par nät. Mycket bra att det ska fixas.

Är det vanligt att webbhotell har flera linor men att ett/flera/alla nät är bundna till en specifik lina så att det ändå inte finns redundans?

Jo, med BGP man kan tala om för sina "BGP-anslutningar" att man ska droppa trafik får ett specifikt mål som är under attack. Det är det absolut effektivaste för att rädda de andrfa kunderna. Målet är såklart helt nere under tiden detta pågår.

Jag gjorde en liten koll på detta. Och det är tydligen det vanligaste om man tittar på en bunt svenska webbhotell.

Några exempel på större webbhotell som inte har egen BGP som förlitar sig till en eller flera internetleveranörer är som sagt FSData men även, Ipeer, Levonline, Space2U, Surftown, Sajthotellet, Admax, Internet.se.

Detta behöver inte vara dåligt. Att sköta om BGP krävs mycket kunskap och flera av webbhotellen har inte så mycket personal. Det är svårt att hålla denna kompetensen på fler personer på ett litet företag. För att verkligen kunna ha kompetens om BGP så måste man jobba med det ofta (minst varje veckan), och det är svårt för webbhotellen att göra detta då det oftast inte också säljer internetanslutningar som kräver BGP till deras kunder.

Många av webbhotellen är inhyrda i andra serverhallar där det finns gott om redundans och BGP är överflödigt, och att webbhotellen har bra sammarbete med de som sköter deras internettrafik.

Men om webbhotellet sköter sin egen internetanslutning och till och med har sina servrar i egna lokaler så är det väldigt viktigt att köra BGP (personlig åsikt).
I listan ovan så kör FSData, Ipeer, Space2U servrar i egna lokaler (rätta mig om jag har fel).

/Jonas - kör BGP med fyra stycken operatörer

Det finns många typer av dos och ddos, så det beror helt på tror jag, de vanligaste ddos attackerna med maskar och botnät kan man man avstyra med bra brandväggar, det lyckas iaf jag med.

Det jag menade var att flera linor och BGP i sig inte hjälper mot DDOS. Om en lina skulle bli överbelastad så kommer BGP bara hjälpa attacken till nästa lina.

Nu var det länge sedan jag gjorde något med BGP, så jag kommer inte ihåg allt i detalj, men det du skrev lite tydligare är väl ungefär vad jag menade med min parentes.


Om ett webbhotell hyr in sig i en serverhall och därmed kör BGP indirekt via sin leverantör så är det helt ok. Jag håller med om att det är väldigt illa när någon som kör i egna lokaler inte kör BGP.

Ni är okunniga, BGP hjälper mycket i många fall. Beror även hur många du kör emot och vilka upstream.

Med community kan du välja hur du vill annonsera dina nät och till vilka operatörer/länder om du har vettiga upstream. Samt att kunna nullroutra målet.

Björn - nja - vi har kört BGP och tre operatörer väldigt länge (flera år). Dock har vi haft ett antal kunder som haft vääääldigt svårt att byta IPn och har valt och stanna kvar vid våra gamla som faktiskt inte ingår i BGP lösningen. Tex har vissa använt IP mot betalningsleverantörer och det blir knökigt att få in nya.

Vi tog nu dock steget och "tvingar" alla att köra över på det nya då vi i våra garantier annars får separera folk för mycket och vi känner att vi nu har gett det nog med tid - två år att byta. Därav nyhetsbrevet. Så 99% av alla har sedan längt kört på BGP.

Kan tänka mig att andra leverantörer som infört BGP tidigare kanske haft liknande som vi - dvs kunder som vägrat byta IP och då står några få utanför.

@Björklund - får nog säga att jag inte håller med dig där. Utan BGP eller någon form av redundans så är du ju garanterad viss nertid pga simpla underhåll eller whatever. Vi har sett våra leverantörer ibland vara mer eller mindre bra på att hålla planerade underhåll korta. Hade vi då inte kunna routa om på två andra så hade vi aldrig kunnat köra de SLA:er vi kör idag. Att säga att man inte vill göra det pga att man inte har kundskapen känns inte rätt.

Med tanke på listan du gör ovan över leverantörer som inte kör med BGP så kan man ju säga att riktigt stor skara kunder är under hot varje dag mot små underhåll till och med.

Om ett webbhotell står inne hos ett större datacenter så kan datacentret garantera hög upptid.

Det är ju precis samma sak som om jag blir kund hos dig och ställer mina servrar hos dig så har du garanterat mig redundans till alla era peers.
Det krävs ju såklart att ni har anslutit mina servrar med dubbla switchar/routrar/whatever för det har jag avtalat med er.
Så gissar jag att de flesta gör eftersom det är svårt att hålla kompetensen på sin personal.

Om jag däremot köper en förbindelse av er och den grävs av, då sitter jag i klistret.