Danske servere udfører DDoS-angreb

Artiklen blev oprindeligt publiceret den 28/3/2014

Uden ejernes vidende er mange danske servere med til at udføre overbelastningsangreb. Det sker, fordi de er inficeret med skadelige programmer eller konfigureret på en usikker måde.

Det skriver Center for Cybersikkerhed i organisationens seneste situationsbillede. Centeret har observeret stadig flere danske servere og andre computere, der ufrivilligt leverer angrebskapacitet til DDoS-angreb (Distributed Denial of Service).

Nogle af de seneste angreb har været målrettede og ramt med en båndbredde helt op til 60 gigabit/s. De ufrivillige hjælpere bliver typisk brugt til angreb via DNS (Domain Name System), SNMP (Simple Network Management Protocol) eller NTP (Network Time Protocol). Det vil sige, at angriberne sender en forespørgsel til serveren, hvor afsenderadressen er forfalsket. Serveren sender svaret til den falske adresse, der derved bliver oversvømmet med svar.

Derudover er nogle servere inficeret med skadelige programmer, typisk skrevet i PHP. De bliver inficeret, fordi de kører gamle, sårbare programmer. Et udbredt angrebsværktøj er PHP.Brobot.

Centeret etablerede i efteråret en midlertidig task force til håndtering af DDoS-angreb. De gode erfaringer herfra gør, at det nu overvejer at gøre den permanent. I task forcen indgår Rigspolitiets Nationale IT-Efterforskningssektion, Nianet, Global Connect og medlemmer af ISP-sikkerhedsforum.

Anbefaling
Hold software opdateret og følg best practice for konfigurering af nettjenester som DNS, SNMP og NTP.

Links