De sidste dage har været usædvanlige for Telias IP-tekniker Thomas Kjær, efter han sammen med en håndfuld kolleger har kæmpet mod flere døgns DDoS-angreb mod Folketingets website.
Fredag begynder hans dag således for alvor om formiddagen, da netværksalarmerne ringer hos Folketinget.
Hurtigt finder han og kollegerne ud af, at Folketinget.dk er under heftig beskydning i et kraftigt DDoS-angreb, hvilket bliver bekræftet af data på Telias oversigtskort over netværket og opringninger fra Christiansborg.
"Det var ikke bare et hvilket som helst angreb. Her foregik det med 25 gigabit i sekundet, hvilket er temmelig kraftigt. Angrebet forsvandt flere gange, kom tilbage i en anden styrke og så tilbage på højeste styrke igen," forklarer Telias IP-tekniker Thomas Kjær til Computerworld.
Læs også: Folketingets website i knæ flere gange efter angreb fra udlandet
Han tilføjer, at det var udenlandske DNS-servere, som var spoofet til at sende forespørgslerne mod Folketingets hjemmeside. Grundet spoofningen kan han ikke sige noget stålsikkert om, hvor angriberne sidder henne i verden.
Slukkede for det store Telia-netværk
Undervejs i fredagens angreb er stemningen flere gange lidt presset i Telias kontrolrum med trafik-overvågningen til Christiansborg, fordi angrebene forsvinder og tager til i styrke på flere tidspunkter.
"Angriberne bruger simpelthen krudt på at holde angrebet i gang og se effekten af deres skader. Vi tager derfor en dialog med Folketinget, og sammen træffer vi en beslutning om, hvordan vi skal dæmme op for dette her," lyder det fra Thomas Kjær.
Læs også: Når DDoS-angreb rammer Danmark: Sådan svarer TDC igen via backbone-nettet
Han fortæller, at løsningen bliver at smide den angrebne IP-adresse væk og samtidig slukke for adgangen til Folketinget.dk fra TeliaSoneras store, internationale netværk.
Det betyder, at folk på netforbindelser tilkoblet Telias danske netværk godt kan se Folketingets hjemmeside, mens den ser ud til at være nede, hvis man sidder i udlandet.
Løsningen hjælper, og angrebet klinger af lørdag formiddag, hvorefter der bliver åbnet for TeliaSoneras servere ind mod Folketinget.dk ude på det internationale netværk igen.
Angrebet bryder ud igen
Mens søndag er helt stille, bryder DDoS-angrebet ud igen mandag morgen.
"Baseret på angrebsmønstret med at tænde og slukke og skrue op og ned for kapaciteten vurderer vi, at det er de samme fra weekenden, der angriber Folketingets hjemmeside igen," fortæller tekniker Thomas Kjær fra Telia.
Han nævner, at mens de daglige DDoS-angreb i Telias netværk ligger på enkelte gigabits per sekund mod mindre hjemmesider, er det nye angreb igen oppe og runde 25 gigabit per sekund.
"Det kan dreje sig om chikane, eller at nogen har set sig sure på Folketinget, det er svært at sige," siger Thomas Kjær.
Læs også: Latterligt billigt: Du kan blive hardcore it-kriminel for 12 kroner
Han fortæller, at under den anden angrebsbølge om mandagen taler Telias teknikere og Folketinget igen sammen om muligheden for at dæmme op for DDoS-angrebet, og der vælges samme løsningsmodel som om lørdagen med at lukke for adgangen fra TeliaSonera-netværket.
"Den slags dialoger tager vi naturligvis fra gang til gang. Hvis der havde været tale om et mindre angreb, kunne vi eventuelt også have sorteret trafikken i firewall'en, men lige mod Folketinget, var det altså ret kraftigt," forklarer Thomas Kjær.
Anden angrebsbølge bliver der dæmmet op for mandag aften, og nu skulle Folketinget.dk igen køre normalt - hvad enten du kigger på sitet fra Danmark eller fra det store udland.
Læs også:
Folketingets website i knæ flere gange efter angreb fra udlandet
