I forrige uke påsto SCO Group at de var utsatt for nok et tjenestenektangrep. Selskapet er under hard kritikk fra Linux-fellesskapet for dets søksmål mot IBM, og meldingen fra selskapet kunne leses som en anklage mot kritikerne. Kritikerne gravde fram materiale som var egnet til å trekke påstanden om tjenestenektangrep i tvil.
En statistisk analyse av typen "backscatter" eller "returspredning", gjennomført av den uavhengige analysegruppen CAIDA – etablert ved University of California, San Diego (UCSD), og sponset av blant andre Cisco, Sun, DARPA og US Department of Energy – bekrefter den opprinnelige analysen fra Netcraft om at SCO har vært utsatt for et omfattende tjenestenektangrep.
En animasjon på nettstedet til CAIDA forklarer hva returspredningsanalyse går ut på. Et stillbilde fra animasjonen er gjengitt nedenfor:
Under et tjenestenektangrep sørger en angriper for å sende så mange datapakker til et offer, at offerets server kneler. Pakkene blir sendt med falsk avsenderadresse. Offerets server reagerer automatisk ved å bekrefte overfor de oppgitte avsenderne at den har mottatt pakkene. Siden avsenderne faktisk ikke har sendt pakkene, reagerer de ved å avvise offerets bekreftelse. Returspredningsanalyse går ut på å overvåke et stort antall maskiner på Internett, og fange opp pakkene som avvises. Siden disse pakkene inneholder offerets adresse, vil et stort antall avviste bekreftelser fra en bestemt adresse tyde på at offeret ikke er tilfeldig, men systematisk rammet av pakker med forfalsket avsenderadresse, altså et tjenestenektangrep.
Hvis man forutsetter at de overvåkede maskinene er både mange nok og representative for verdens samlede Internett-adresser, kan man bruke legge det oppfangede tallet på avviste bekreftelser til å anslå hvor mange henvendelser offeret faktisk har mottatt.
Her kan du selv se CAIDAs grafiske framstilling av tjenestenektangrepet mot SCO i forrige uke, og en animasjon over hva returspredningsanalyse går ut på: SCO Offline from Denial-of-Service Attack. Analysen er ledet av David Moore ved CAIDA.
digi.no har tidligere omtalt CAIDAs analyser av spredningen av Code Red i 2001:
- Les også:
- Ett år siden Code Red-kaos (19.07.2002)
- Se et virus spre seg (26.07.2001)
