Besökare som loggade in på supportsidan för webbhotellet FS Data under torsdag denna vecka kunde läsa meddelandet ”Vi upplever just nu en ddos-attack vilket påverkar nätverkstrafiken mot flertalet kunder med Server och VPS. Vi arbetar just nu aktivt med att stoppa Attacken så att trafiken fungerar normalt igen.”.

Torsdagen blev en arbetsintensiv dag för företagets tekniker, som först nu kunnat prata med Techworld Säkerhet om vad som egentligen inträffade.

En så kallad ddos-attack (distributed denial of service) är en typ av överbelastningsattack som syftar till överbelasta brandväggar och servrar genom en stor mängd datatrafik. Tanken är att legitima besökare och kunder inte ska kunna komma åt det drabbade företagets tjänster, vilket i sin tur hindrar verksamheten från att fungera normalt.

FS Data löste ddos-problemet efter drygt fyra timmars intensivt arbete. Angreppstypen är i sig inte ovanlig och går ofta att stoppa genom att att blockera trafiken från eller till den ip-adress som är utsatt. I detta fall fungerade dock inte den åtgärden, något som resulterade i att störningen tog ovanligt lång tid att lösa.

Tom Björnli, driftchef på FS Data, uppger till Techworld Säkerhet att man blev medveten om angreppet omkring klockan elva på torsdag förmiddag.

– När vi upptäckte att det började strula med brandväggen kollade vi upp det hela och fann att trafiken var onormal. Efter cirka 45 minuter stod det ganska klart att det rörde sig om ett faktiskt angrepp, säger Björnli.

I likhet med de flesta ddos-attacker gick även denna ut på att överskrida det maximala antalet anslutningar per sekund som systemet kan hantera, i detta fall en av FS Datas brandväggar.

– Då vi såg att dom maxat vår brandvägg ut mot kunden provade vi att blockera trafiken till den servern, något som normalt sett fungerar bra, men som detta fall inte hade den effekt vi önskade, förklarar Björnli.

Den konstgjorda trafiken, som han gissar är skapad av flera tusen datorer via ett så kallat botnät, använde sig av fejkade ip-adresser och skickade en typ av förfrågan som brandväggen inte kan ignorera utan vidare.

– Jag uppskattar att brandväggen fick ta emot närmare 100 000 syn-paket per sekund. Dessa paket ber brandväggen öppna en anslutning, vilken den också försöker göra, men eftersom det rör sig om fejkad trafik får den inte det svar som förväntas, vilket orsakar att den blir upptagen med förfrågningarna och därför inte kan hantera den legitima trafiken, säger Björnli.

FS Data kontaktade därefter sin brandväggsleverantör, vars namn man inte vill uppge, i ett försök att hitta en annan lösning. Efter flera försök med nya konfigurationer och mjukvaruuppdatering av själva brandväggen gavs rådet att istället kontakta internetleverantören och be om att trafiken blockeras på operatörsnivå istället. I slutändan beslutade FS Data sig istället för att sluta publicera den berörda ip-adressen på nätet.

– Vi gjorde en ändring i brandväggens trafikdirigering [routing] och dolde vår ip-adress. Det är inte en optimal lösning eftersom adressen inte kan användas innan vi återinför den igen. Men det löste problemet, vilket var det viktiga eftersom problemet var kritiskt och berörde flera kunder, säger Björnli.

En av de drabbade kunderna var Motoaction, som via en ping-tjänst upptäckte att något inte stod rätt till med sin sajt omkring halv tolv på torsdag förmiddag. I en loggfil, som Techworld Säkerhet har fått ta del av, kan man följa hur svarstiderna ökat från några millisekunder till flera sekunder, för att till slut helt upphöra. Att servern under långa perioder inte kunnat svara medförde bland annat att en produktkampanj på sajten blev störd.

– Det jobbiga är att vi aktiverade en produktkampanj som skulle vara aktiv i tjugofyra timmar med hjälp av en flash-timer som räknar ner. På grund av ddos-attacken så missade vi lunchruschen då vår målgrupp normalt är väldigt aktiv. Hur många beställningar som vi missade vill jag inte ens spekulera i utan jag hoppas bara att det värsta nu är över så vi inte även missar kvällsrushen, uppgav Johan Andersson på Motoaction i ett mejlsvar till Techworld Säkerhet under torsdagen.

Omkring halv fyra på torsdag eftermiddag var problemet till slut åtgärdat från FS Datas sida och de kunder vars sajter och servrar fanns bakom den berörda brandväggen bör ha fått tillbaka normal funktionalitet.

När det gäller råd till andra internet-baserade verksamheter som riskerar att bli föremål för ddos-attacker blir svaret att man nog inte kan förvänta sig någon universallösning som det ser ut idag.

– Det är svårt att ge råd då den här typen av angrepp är svår att skydda sig mot. Man kan visserligen köpa kraftfull utrustning, men det ger inga garantier. Det bästa är nog att kontakta brandväggsleverantören i ett tidigt skede så att man snabbt kan komma igång med fungerande motåtgärder, säger Björnli.

På frågan om vilka som kan ha legat bakom angreppet svarar han att det är svårt att säga. En kund har dock fått sin server hackad vid ett tillfälle och kan kanske också ha retat upp någon, vilket möjligen skulle kunna förklara angreppet, gissar Björnli. Attacken tros inte ha varit riktad mot själva FS Data.