fredag 7 augusti 2009

DoS-attack mot Twitter, Facebook et al

Igår genomfördes en stor Denial-of-Service-attack mot Twitter, Facebook, LiveJournal och Googletjänster som Blogger, Sites och YouTube. Själv var jag irriterad på en massa time-outs på ett Facebook spel jag fastnat i.

Så vad hände? En vanlig HTTP-flod för att sinka världens populäraste webbappar? Nja, inte riktigt ...

Attack mot DNS
Kl 15 svensk tid så gick trafiken till Twitter kraftigt ner enligt statistik från Arbor-nätverket. Användare kom inte fram till tjänsten alls vilket antyder DNS-problem. Mycket riktigt så attackerades Twitters DNS-tjänst, men de anger 18.30 svensk tid så jag misstänker strul med tidzoner eller flera attackvågor. DNS:en var i alla fall nere i en och en halv timme. Dagen innan råkade de ut för en liknande incident. Åtminstone en del av DoS-attacken verkar alltså ha riktat sig mot DNS-namnen för Twitter*.

Spam med länkar?
Men DNS-attacken kan inte förklara att Facebook var segt och fick en massa time-outs. Det måste helt enkelt ha varit en flora av attacker, däribland flooding. Ett tag förekom spekulationer om att spam med länkar till Twitter och Facebook skulle ha orsakat mycket trafik. Men företrädare för Facebook avfärdar den teorin med tanke på hur koordinerade alla "klick" var.

Östpolitiska dimensioner
Målet för attackerna var inte tjänsterna som sådana, utan en georgisk bloggare under namnet Cyxymu. Han skriver regimkritiskt om Ryssland och idag (7/8) är årsdagen för Rysslands militära angrepp på Georgien i striden om Sydossetien. DN skrev i förrgår om ökad spänning i regionen.

En Google-översättning av Cyxmu:s twittersida ger inte mycket info. Prat om att det är KGB som ligger bakom och ursäkter för att Facebook sänkts. Hans LiveJournal kommer man fortfarande inte åt. Men en annan sida citerar honom (ursäkta min och Googles dåliga översättning):

"Du kanske har märkt att besökarna de senaste dagarna har ökat på olika georgiska forum och chattrum med teman som grov, kränkande och hotfullt. Observera att detta är en del av den så kallade 'brigadnikov direkt' eller frivilliga medhjälpare till ryska underrättelsetjänster."

Slutsatser
Jag drar följande slutsatser:
  • Det finns stora botnät som lätt kan knäcka våra största webbapplikationer. ISP:er måste börja vidta aktiva åtgärder precis som Darkreading skrev igår och som organisationen Massaging Anti-Abuse Working Group föreslår.
  • Politiska och teritoriella konflikter har återigen visat sig påverka långt fler än de direkt inblandade. Två länder är i konflikt => folk kommer inte åt Facebook.
  • Många företag är idag beroende av sociala nätverk, t ex för sin support och kundkontakt. I vanlig ordning har alltså beroende av tämligen oskyddad infrastruktur smygit sig på oss. Hur många har t ex en telefonkatalog som backup om Eniro, hitta och de andra tjänsterna slås ut?
  • Facebook verkar mer vana vid att hantera attacker än Twitter att döma av försvar och information.

* Lustigt nog så får jag inte med min 3G-puck slå upp Twitter på Whois. "The IP address from which you have visited the Network Solutions Registrar WHOIS database is contained within a list of IP addresses that may have failed to abide by Network Solutions' WHOIS policy." Kanske en massa svenska bot:ar som sitter på 3:s nät? Kanske min burk? Gaaah!

1 kommentar:

Henric B sa...

Kan man verkligen skaffa 3g-dongel utan att regga den i sitt namn? I så fall, good luck with IPRED ...