Gårdagens massiva distribuerade överbelastningsattacker (DDOS) mot DNS-servrar sänkte tjänster som hela Twitter och Spotify i USA, men också många svenska myndighetssidor som bland Myndigheten för samhällskydd och beredskaps (MSB) tjänster kring krisinformation. Det är rent slarv av myndigheter och företag och är fullt möjligt att skydda sig mot.
MSB hänvisade rent av till Twitter (“alternativa kommunikationskanaler”) istället för sina hemsidor, men Twitter var alltså nere under gårdagens angrepp.
Det är för individuella tjänster fullt möjligt att skydda sig mot DDOS-attacker mot DNS-servrar, helt enkelt genom att ha flera leverantörer av DNS. Flera aktörer har påtalat detta för MSB och det handlar alltså om rent slarv.
Andra kritiska myndighetstjänster i Sverige som bara har en DNS-leverantör är t ex regeringen.se. Jag ska försöka återkomma med en komplett lista under dagen.
Det finns anycast-DNS som i princip blir helt ostörbart för DDOS-attacker med säg över 40 DNS-servrar.
Svenska myndigheter kan bortförklaras med snålhet, men att miljardföretag som Twitter och Spotify inte använder sådana tjänster kan bara förklaras med inkompetens.
Ja, min DNS-leverantör skulle redan innan angreppet lägga över bloggen på anycast-DNS, men jag är osäker på om det var klart vid tillfället. Fem namnservrar har jag åtminstone just nu.
10 kommentarer
Det här är ingen katastrof så länge Netflix och onlinepizza.se inte påverkas AMIRITE?
Ps3 var nere så var tvungen att chromecasta netflix från mobilen till tvn. Mycket irriterande.
Inga problem så länge grannen inte brinner.
Hur var det att fira jul i kollaps? Brann grannen? Tog maten slut?
😀 😀
Enligt New York Times användes Internet of things, d.v.s. kapade kameror, kylskåp, babymonitorer och hemmaroutrar i attacken. Förmodligen kommer det bara att bli värre med tiden ju mer prylar som kommer on line.
downdetector.com visar status i realtid för viktiga samhällstjänster com Playstation Networks, Call of Duty och Netflix.
Det är väl angreppsdatorerna som bör påverkas inte mottagnings.
Sätt in spärrar på dessa i stället.
Fö så finns det en artikel i dagens SVD om en filmstjärnas intelligenta uppfinning, kanske även användbar för att förhindra dessa attacker?
Tom. mina företag och hobbysiter har anycast på sina siter. Det kostar typ några hundralappar per år (för alla).
Men så är jag inte statligt anställd hos MSB. MSB är en chatt-myndighet i mina ögon och har ingen förmåga.
Bara av ren nyfikenhet, hur har du sett att ex regeringen.se och krisinformation.se inte redan använder sig anycast för sin dns?
Krisinformation verkar enligt whois ha sin dns hos excedodms.se (som även visar regeringskansliet som kund).
Det är ju lite roligt under omständigheterna att excedodms säger sig ha 100% SLA uptime.
regeringen.se verkar ironiskt nog använda sig av Dyn för att hantera sin dns.
Hur som helst, så som jag förstått poängen med anycast är tjänster visar upp sig med samma adress på flera olika platser, och låta router systemen hantera vilken av instanserna som sen faktiskt används.
Den stora vinsten är att det är transparent från användarens sida, och att enda egentliga sättet att upptäcka det för användare är att göra en traceroute från olika ställen och se vilken rutt paketen tar. (Förutom att fråga förstås.)
Tack för en morgons uppfräschning av minnet om hur dns fungerar, men min nyfikenhet finns kvar, hur såg du att dina exempel inte redan använder sig av anycast? 🙂
Största katastrofen igår var att EA:servrar fick smaka på denial of service. Detta gjorde att jag inte kunde njuta av Battlefield 1-lanseringen såsom planerat.
Lars. Man har valt Dyn pga de iaf när man gjorde designen var ett av få företag som kunnat erbjuda Anycast.
En lösning på problemet är lite svårare än så.
Problemet är att det inte finns hygienkrav på nätet, och det har angriparen utnyttjat. Det blir lite som att försöka hålla det snyggt på ett högstadiedisko med fri tillgång på sprit…
När det gäller officiella svenska siter får dessutom inte leverantören "censurera" dålig hanterade nät("diskoteket") pga regelkrav mer än temporärt även om det kanske inte hade varit så aktuellt i det här fallet. Man får spärra enstaka noder ("aprak elev") men problemet blir rätt stort vid en global attack.
Jag har inget samråd med Exceedo men har haft lite med dom att göra. Och efter mina 15+ år i branchen har jag inte arbetat med någon som kan dns bättre.
Frågan är var man drar gränsen för alla ägg i en påse… kan man sänka Dyn gissar jag att man kanske kan sänka hela .se om man vill det. Så om du sitter inne med en lösning är det nog ganska många som skulle vara intresserade!