SYNflod mot verdens største webserver

Verdens største webserver, WebCom, var nede i 40 timer fra lørdag etter et "SYNflod"-angrep. Hackere angrep tjenesten med utallige meldinger med falsk returadresse.

Et "SYNflod"-angrep betyr at en webserver utsettes for et stort antall synkrone henvendelser med falske, ikke-eksisterende returadresser. Serveren blir så opptatt med å vente på bekreftende svar fra de falske henvendelsene at den ikke lenger har kapasitet til å ta seg av de legitime meldingene. Bakgrunnen er en svakhet ved selve nettverksprotokollen TCP/IP. Angrepstypen er også kjent som "stormangrep" eller "tjeneste avslått".

Offeret for det nyeste store angrepet som startet lørdag, er WebCom i California (Web Communications), et selskap som driver vertsservere for rundt 3000 websteder. Denne tjenesten gjør at WebCom er verdens mest besøkte webserver. "SYNflod"-angrepet holdt tjenesten nede i hele 40 timer.

I september i år ble det rettet tilsvarende angrep mot to tjenester i New York, Panix Networks og avisa New York Times.

WebCom er tilkoplet internettilbyderen PSI. Ifølge Newsbytes tok det 14 timer før PSI var i stand til å slå fast at angrepet stammet fra nettet til en annen tilbyder, MCI. Så tok det igjen tid for MCI å finne ut at angrepet stammet fra den kanadiske tilbyderen CA-Net, som til slutt fant fram til kilden, en høyskole i British Columbia. Da stanset MCI all trafikk mellom CA-Net og WebCom. Undersøkelser lokalt viste at høyskolens system var blitt hacket, og at det ikke var tilstrekkelige spor til å finne fram til de skyldige.

Norske Internett-tilbydere med å svare på spørsmål om egnede mottiltak, for ikke å tiltrekke seg oppmerksomhet fra personer med hacker-tilbøyeligheter.

– "SYNflod"-angrep utnytter den mest sårbare delen av Internett, bekrefter den uavhengige sikkerhetseksperten Stein A. J. Møllerhaug. – De fleste Internett-tilbydere i Norge har nok en eller annen form for mottiltak. Men mottiltakene kan ikke være 100 prosent effektive før man får en helt annen infrastruktur på selve nettet. Angrepene er gjerne styrt av spesiell programvare, og er det massivt er det praktisk talt ikke annet å gjøre enn å spore opp angriperne for å stanse dem fysisk. Det er svært vanskelig, siden selve angrepet opptar så mye kapasitet på nettet at det er vanskelig å foreta noen sporing.

Møllerhaug legger til at metoden også har vært brukt av teknisk-kyndige motstandere av barneporno på Internett, for å gjøre pornografiske websteder oppmerksomme på at man er klar over hva de driver med.

Datainbruddene den siste tida kan tyde på at verdens hackere lader opp foran jula. Første juledag er det to år siden Kevin Mitnicks legendariske angrep mot filene til datasikkerhetsekspert Tsutomo Shimumora.

I forrige uke var webstedet til partiet Labour i Storbritannia angrepet av hackere som greide å bryte gjennom beskyttelsessystemet og endre innholdet på flere websider. Labour nekter fortsatt å kommentere forholdet. Ifølge avisa London Evening Standard skal politiet ha funnet ut at det første angrepet lørdag 7. desember skal ha stammet fra en Internett café i Manchester som var stengt på det aktuelle tidspunktet. Det skal samtidig ha pågått et større hacker-party i byen. Politiet skal derfor ha som arbeidshypotese at angrepet mot Labour var ledd i en demonstrasjon i forbindelse med denne sammenkomsten.

Til toppen