Twitter, Facebook & LiveJournal driftproblem
 

Twitter är helt nere och anger att det är en överbelastningsattack på sin blogg. Facebook har problem, timeouts och errors lite här och där.

Mer information

Intressant att diskutera är att än idag är så pass stora siter och nätet i stort så sårbart att en riktad attack kan göra tjänster otillgängliga. Ingen nyhet direkt men ett ämne som berör oss alla som lever på nättjänster.

Tyvärr är väl detta den typ av attacker som det är svårast att skydda sig mot. Man kan undra vad de får ut av det hela. Det är ju så totalt meningslöst... Vill de ha uppmärksamhet? Ja, i så fall åker de dit. Vill de se Facebook gå under? Det lär ju knappast hända.

Det är väl snarare "titta vad vi kan göra med vårt gigantiska botnät" för polarna...

Herrejävlar, är det fler stora sajter som har problem?
Emocore.se har legat nere hela dagen idag, pga skum serverkrasch av vår primärserver.

Undra vad det är på gång...

Facebook verkar ju ha tappat sin css helt ju!

Verkar vara deras static-server som dött.
Dom har en ny? nu.

http://b.static.ak.fbcdn.net
Skum url, minst sagt. ;D

Jag fick upp Emocore.se strax runt 21:00 idag, efter att ha legat nere helt i 13h.
Jag har fortfarande inte hittat någon anledning till det.

Våra statistikverktyg och övervakningen visar inte på någon extremökning i trafik heller så... :/

Ett virus, kallat Koobface anagram för facebook har börjats spridats (igen). Det ligger ganska nära ordet Knoobface => noobface jag vet inte om det var meningen med en dubbel mening där men det beskriver viruset ganska bra.

Kort sagt en liten varning;
Om ni får en länk typ "OMG! CHECK some video at facebook/myspace/youtube liknande adress.. Klicka då för guds skull inte ja på att ni vill uppdatera flash media player. (Det ser precis likadant ut ladda ned setup.exe kör...) Men det är en DoS program som skickar ut tusentals requests till sidor som twitter, facebook.

Jag ska leta reda på källor när jag hittar lite icke underground källor..

Kolla t.ex.
http://vil.nai.com/vil/content/v_148955.htm

Den tidigare generationen av koobface. Ser lite annorlunda ut idag men fungerar på ett liknande sätt. Så ladda ned alla uppdateringar från leverantörens hemsida!

tartareandesire det handlar enligt min erfarenhet inte alls om det. Vissa skriver virus/malware etc för att få cred, men de är ganska få och mest script kiddies. DVS nybörjare som copy pastar saker utan någon egentlig förståelse. I många fall handlar det om ett hat mot något, människan, organisationer, grupper etc. Ibland en vilja att utnyttja mindre vetande människor för att uppleva sin identitet, att känna att jag faktiskt existerar och är unik.

Innan jag hade kommit in i tonåren/tidiga tonåren så tyckte jag att det var väldigt roligt att driva med människor. Bädda in netbus i andra program och ge bort till vänner, starta porrsidor remotely på andras datorer i skolan och allt annat dumt man gjorde. Men ja, det var då det! :ph34r:

ja det ser lite komiskt ut :P

Attacken var riktad mot en enda användare som går under namnet "Cyxymu" på alla sajter som blev påverkade.

Twitter, Facebook, LiveJournal, Blogger och YouTube blev alla utsatta för denna DDoS-attack.

Personen i fråga är Georgienanhängare som får ett att misstänka att Ryska aktivister ligger bakom attacken.

Sprids dagligen nya virus på olika communityn men det har knappast något med överbelastningsattackerna att göra. Detta virus förlitar sig på att besökare på facebook och twitter ska klicka på deras länkar och ladda ner virus. Något som inte fungerar om sidorna ligger nere ;-)

Istället så motverkar attacken spridningen av Koobface-viruset...

Jadu Dansi, 100 000 DDoS zombies fixar du genom att vifta med trollstaven, eller vad? :rolleyes:

Vilket skapar en zoombie DOS klon. Vilket är precis vad jag nämnde.

Spelar ingen som helst roll. Jag kan försöka förtydliga lite. Om jag har 25 000 clones redan spridda, så finns det ingen nödvändighet att sprida det mer om det motsvarar det kritiska talet för hur mycket trafik servrarna kan ta i full belastning. `Jag` vill inte förstöra din dator i det här fallet, bara utnyttja den till ett ändamål och när jag har tillräckligt mycket för ett visst ändamål så finns det ingen anledning till att skaffa fler. Om jag är hungrig och blir mätt på en big mac, så beställer jag inte en miljard big mac till mig själv det är bara onödigt!

Se ovan. När du har 25 000 - 50000 clones så är det bara att köra. Koobface är inte elakt egentligen, det är bara enkel DoS.

Med tanke på dagens utveckling av fildelning och idioti bland internetanvändare är det inte rocket-science att skapa en fully UD trojan/bot av nån existerande source - och få folk endast klicka på en länk och köra ett script...

100.000 zombies kanske är ett rätt stort botnät - men funkar det för 10, 100 och 1000 "mindre vetande" personer - så är det bara en fråga om tid och engagemang.

Absolut, 100 000 är ett väldigt stort botnät. Men jag tror det borde krävas åtminstone så många för att göra en effektiv DDoS attack på facebook. Deras server grid är ju ganska gigantiskt.

Att göra ett script som skickar ut massor av ICMP requests är ju inte direkt svårt.

:P

Dock lite väl enkelt att skydda sig ifrån. Bättre att ta upp hela bandbredden genom dolda http requests till olika sidor slumvis så det inte går att hitta något mönster att blockera.

Ps. Jag är inte säker på om just koobface användes i detta fall, då jag inte såg det i första hand utan hörde det. Dvs.

Zombinätverket som koobface rekryterar till är avsett för spamutskick och hade inte nått någon spridning innan attacken mot dessa sidor. Därför hävdar jag fortfarande att det inte är koobdace som ligger bakom just denna attacken och är därför orelaterat.

Attacken genomfördes mot en individs konto som är politisk kritisk mot Ryssland för att tysta honom. Sen att det skulle påverka hela sajterna kan man bara fundera på om attackeraren hade förutspått. Koobface riktar sig till att få en spridning för att tjäna pengar på spamutskick på Facebook, MySpace, hi5, Bebo, Friendster och Twitter. Två helt olika motiv och olika sajter påverkade.

Tror och hoppas samtidigt att det inte behövs varnas på WN att inte ska ladda ner och köra okända filer. I så fall får du nog spamma ut varningar dagligen eftersom det dyker upp ett par såna här virus varje dag där många som använder just facebook. Kommer säkert på WN en vacker dag också tyvärr om man tittar på den spridningen som sker mot mer lokala och personliga virusattacker.

Då jag ingår i en grupp som forskar i zombienätverk så ställer jag mig frågande till att man skulle behöva trollspö till att styra några tusen datorer. Vår erfarenhet är att varenda spammare och annat skumrask har kontroll över ett sådant nätverk i någon omfattning.
Annars räcker det att gå in på några av de otaliga ryska forumen/IRC-kanalerna och betala några dollar så får du hyra ett. Man kommer rätt långt idag även om zombienätverket inte är i storlek med Storm som ansågs styra över 1 till 50 miljoner datorer när det var som störst.

Om du har någon "underground" källa som du skrev som hävdar motsattsen så är jag väldigt intresserad att lära mig mer då detta är ett ämne som intresserar mig stort.

Appropå DDoS, nån som hört något mer ang. Sockstress?

Den attacken kräver betydligt mindre maskiner i botnätet, även ett litet botnät kan ställa till stor skada.

Cisco har i alla fall bekräftat problemet, och dom jobbar på en lösning.

http://en.wikipedia.org/wiki/Sockstress
http://sockstress.com/

Citat från http://radian.org/notebook/van-helsingfors:

Problemet är en balansgång, om stora tjänster börjar blockera datorer som accessar med mer än 15 ggr/sek, som är tex. infekterade med virus eller maskar som är programmerade att slå upp en specifik sida eller url, så kommer 5-10% börjar klaga att dom inte kan nå tjänsten längre. OM dom INTE blockerar med antal accesser per sekund eller med antal nya connections/sek så råkar dom ut för ddos ibland som nu hänt.

Om jag inte minns fel blev väl dina sidor utsatta för DDoS, vilket antal satte du på gränsen för nya connections/s ?

SimonP, det stämmer! När jag började med en statefull brandvägg och satte 35 new connections / 5 sec samt max 500 connections per IP så försvann problemet helt sedan 1 år tillbaka. Inga problem alls med ddos/dos, dock får jag in kontinuerligt rapporter på att folk blir blockade och inte når tjänsterna, en del virus rensar och det löser sig.

Det finns många andra sätt att styra bort trafik ifrån en tjänst/server än att bara begränsa antal anslutningar/sek.

Tänk på det.

Jine, berätta gärna mera.

Sockstress är definitivt något att oroa sej för, jag har undersökt det lite närmare och skrivit min egen implementation av det. Testkörde mot en annan av mina datorer, den dog på under 2 sekunder. Slutade prata nätverk och och skärmen tappade kontakten med datorn. Efter en reboot funkar datorn lokalt, men vägrar fortfarande snacka tcp.

crazzy, vad jag förstår gäller Sockstress endast windows:
och inte en free-bsd brandvägg

Verkar vara mer som är påverkat än XP:

http://en.wikipedia.org/wiki/Sockstress

Saxar ur Free bsd forum:

http://lists.freebsd.org/pipermail/freebsd...ber/026350.html

Dvs har man en någorlunda normal statful brandvägg och begränsar antal max states per IP samt antal nya möjliga states/sekund så bör sockstress inte ha någon verkan.

Själv har jag en gräns på 15 nya states per 5 sek så ingen kommer någonsin upp i antalet som behövs, i exemplet 30st/sek

Tydligen fortfarande en del attacker emot Twitter alla fall, senaste igårkväll började en kunds maskin att attackera Twitter :P

patrikweb, intressant, var maskinen Linux/Unix eller Windows? Samt var det genom php skript eller annat?

Bra fråga, hans maskin var en Linux/Unix, men var en virtuell maskin han körde på den som skickade trafiken. Gissar att det var Linux på den, men var inte så intressant för mig att bry mig om vad han körde.

Var en UDP flood alla fall


Source IP Destination IP Application Port Protocol Traffic % of Traffic
193.27.XXX.XX 168.143.162.68 http 80 UDP 1277.11 MB 48%
193.27.XXX.XX 168.143.162.68 http 80 UDP 640.08 MB 24%

Men skulle gissa att hans burk hade blivit i ett botnät bara, men sparar bara raw trafikdata 1dag nu pga flowservrarna behöver 4-8GB ram och en quadcore och några 100GB lagring till för klara av all trafik den analyserar just nu.

Annars skulle det varit lätt och kollat vilka anslutningar han hade haft emot servern precis innan attacken startar för identiferat om den var ansluten mot IRC eller fick skuma anslutning precis innan.

Jag uppskattar att du berättar att det finns en sådan möjlighet. Nu har jag väntat en tid på ett svar från dig och du har ännu inte exakt sagt vad det är. Jag är enormt intresserad av vad du exakt menar.

I mitt fall har jag runt 5 miljoner användare världen över som accessar runt 120 000 konton (hemsidor, forum bloggar mm), med runt 10 miljoner accesser/dygn, hur skulle jag exakt kunna styra bort trafik vid ddos? Visserligen har jag idag inga problem med bra brandväggar med begränsningar satta som ovan i tråden, men jag är ändå väldigt nyfiken på vad du menar. :rolleyes:

Finns flera olika sätt, men beror vad för typ av DDoS.

Men i regel kan man alltid hitta ett mönster och blockera på det, blockera antal anslutningar hjälper inte så mycket om man får antal tusen anslutningar från spoofade ip.

Skumt, mina brandväggar klarar iaf av det. Innan hade jag typ 15-20 000 IP som anslöt när det var som värst juli 2008, och den brandvägg jag har nu klarar det galant utan problem. Under 2008 har jag runt 10 st ddos attacker och sedan oktober 2008 när jag skaffade nya brandväggar, noll komma noll problem.

Det må hända att de ddos attacker jag har haft var milda, men med en Ingate som var innan gick hela härligheten ner helt vid mer än 10 tillfällen.

Folk som har infekterade datorer med maskar, klagar dock ofta att dom inte når tjänsterna, då dom har runt 30-50 accesser / sekund, så det fungerar uppenbarligen.

Säkert små DDoS då, fast en FW kan man utnyttja i vissa fall. Sedan är frågan hur många state dom klarar av.

Eller hur många spoofade IP om behövs för att den har blockerat ut stora delar av internet.

Ett bra exempel är att spoofa och skicka massa från IP du använder för DNS servrar för att resolva, blir kul effekt när FW sedan blockerar.

I regel klarar en brandvägg av hantera DDoS som inte är byggda för utnyttja FW eller helt enkelt är förmånga spoofade paket eller för stor i kapacitet.

Jag har fått DDoS idag, igår och sedan flertal senaste dagarna efter det. Inget som blivit störd av.

Igår var det 2Mpps antal paket (2.000.000 paket per sekund) är tveksam om din FW skulle klarat av det. Och det var ändå en liten DDoS som jag ser det.

I regel anser jag att använda en FW för skydda mot DDoS oftast ger mer skada än nytta, alla fall om man får stora DDoS.

Fast funkar säkert bra för dig i din storlek, som inte fått några "stora" DDoS. Samt 10 st är ju inget på ett år. Jag kan få över 10 st på en dag ibland.

Att jag kanske inte har haft de största ddos:erna är tänkbart, men med tanke på att tex en ingate gick ner när den hade runt 1% av de ddos:er nuvarande brandvägg klarar av så tror jag det är många därute som som med en riktig brandvägg skulle komma bra mycket längre. Ingate 1550 är ju inte den allra sämsta som finns. De ddos attacker jag har bygger upp sig under några timmar för att konstant verka i 2-3 dagar, och verkar vara vanliga datorer ute på nätet som har blivit infekterade av maskar. Dessa maskar slår upp en adress hela tiden som anonym användare på tex. ett forum, där de forum som blev attackerade kunde få 500-1000 anonyma användare från flera tusen IP. Dessa ddos attacker tror jag är för lika vanlig trafik för att kunna göra något åt det i en router, och Facebooks ddos tror jag är liknande de jag har haft, dvs detta är "smarta ddos attacker" som är hur lika som helst en vanlig användare som surfar runt.

Edit: Just nu har jag tex. en server på Karlstads kommun som accessar med mer än 50ggr/sek och då spärras det IP under 1 timme.

Nu har de flesta tillverkarna rullat ut fixar mot Sockstress-DoS:
http://cso.idg.se/2.5334/1.247301