29. april 2003 - 00:27Der er
8 kommentarer og 2 løsninger
Hackerangreb
Jeg har den for tiden tvivlsomme fornøjelse at være koblet op på internettet gennem bredbåndsforeningen Bolignet Århus, et netværk i størrelsesordenen 10-15000 computere.
Lige for nylig var der en beboer på mit kollegium som fik sin computer inficeret af Slammer ormen.
Resultatet af dette blev at HELE BOLIGNET ÅRHUS' netværk blev lagt ned!! Altså: tusindvis af mennesker uden internetadgang på grund af éen sølle inficeret maskine.
Det fatter jeg simpelthen ikke kan lade sig gøre. Min umiddelbare konklusion på dette forløb er, at Bolignet Århus' netværk enten er konstrueret på en helt forkert måde eller at netværket administreres af nogle ekstremt inkompetente teknikere.
Jeg talte dog med en repræsentant for bolignet, og han påstod hårdnakket at den form for sårbarhed er hvad man kan forvente af et stort netværk, og at der ikke er noget at gøre ved det.
Kan det virkelig passe? - Er det bare hvad man kan forvente, når en enkelt maskine lægger et gigantisk netværk ned fuldstændigt? Det betyder jo at en potentiel hacker kan lægge hele bolignet ned blot ved at hacke sig ind på en enkelt kompromitteret computer - og dem er der utvivlsomt mange af på sådan et stort netværk.
Det synes jeg simpelthen ikke kan passe. Hvad mener i?
Det kan lade sig gøre at sikre et netværk imod dette, men det er ikke "bare". Det kræver filtrering af al netværkstraffik (eks. layer 7 filtrering), så der bliver blokeret for den specifikke virus.
I praksis er det umuligt at gøre noget ved. Det svarer til et middagsselskab, hvor alle pludselig begyder at råbe, fordi de er blevet halvfulde. Til sidst kan ingen høre noget...
Eneste effektive kur er, at smide fold af netværket indtil de har haft et besøg af en egnet tekniker, hvor de enten skal kunne dokumentere at deres maskine er fri for virus mv. eller også betaler ham for det.
Hvis det er meningen med nettet, at alle maskinerne skal kunne se hinanden, og ikke bare "gå på nettet", så er der ikke så meget at gøre. Det vil dog altid være muligt at opdele et sådant netværk i isolerede undernet. Det vil mindske skaden.
Når du siger "HELE BOLIGNET ÅRHUS' netværk blev lagt ned!!", mener du så at ingen kunne komme på Internet, eller at ingen kunne komunikere?
Hvis du mener internet kan der laves begrænsninger på hvormange forbindelser hver pc kan have ud og hvormeget båndbredde der må bruges, men det kan være svært at få til at virke godt.
Hvis du mener hele nettet er det kun inkompetance hos administratorerne der kan være skylden. Jeg laver backbone netværk for The Party med ca 3000 gæster hvert år og der har jeg aldrig haft den slags problemer. Det kan simpelthen ikke lade sig gøre for en person at påvirke mere end de nærmeste 10-15 andre.
Øhhh, jeg tror også der er et par ting du har misforstået. Da foreningen blev ramt af Slammer virus'en var det ikke kun én computer der blev inficeret. Det var pænt mange - specielt på Skjoldhøj-kollegiet. Vi blev jo ramt af virus'en den første dag den kom i omløb så ingen var forberedt.
Resultatet blev så at vores gigabit-backbone for første gang kørte med en konstant belastning på over 100 Mbit/sek over længere tid. Det var ikke noget problem for backbone da det jo kan køre gigabit/sek men det var et problem for alle lokalnet der sad på som kun kan køre 100 Mbit/sek. Som jpvj glimrende beskrev så begyndte alle at råbe og så kunne ingen høres.
Problemet blev jo også løst temmelig hurtigt (alt dette skete jo for nogen tid siden) ved at blokere for porten Slammer bruger og problemet har ikke været der siden.
Så, nej, der var ikke kun én computer der blev ramt. Og foreningen blev principielt ikke lagt ned men det blev alle de lokale net - effekten var derfor den samme.
Kristian Dorph-Petersen Var formand for Bolignet-Aarhus i perioden november 2001 - januar 2003.
Jeg er helt med på at der ikke er ret meget at gøre hvis der er mange computere på netværket der bliver inficeret, men jeg taler ikke om det nedbrud dengang ormen kom frem (det nedbrud var sådan set forståeligt nok), men derimod om det nedbrud vi havde i går mandag 28-04.
Og her er der angiveligt kun tale om en enkelt computer der blev inficeret.
Det gør det bare endnu mere mystisk at porten skulle være lukket - så burde problemet jo slet ikke kunne opstå.
Nu skal det lige siges at jeg ikke længere har noget at gøre med Bolignet-Aarhus så jeg ved kun det andre brugere ved. Jeg kan dog se på www.bnaa.dk under driftsstatus at der står en forklaring på nedbruddet i går og det ser ikke ud til at have noget at gøre med Slammer-virussen. Jeg bor selv på Vilhelm Kiers så vi blev også påvirket.
Det er godt at se at bolignet for en gangs skyld kommer med en forklaring på problemet. Man kan så beklage at det først kommer på siden efter problemet har været der i en hel uge.
Jeg ved 100% positivt at der har været problemer herude på skjoldhøj med en slammer inficeret computer. Om det er denne computer der fik den (måske i forvejen ustabile hovedswitch) til at gå ned, eller om der er tale om to helt urelaterede hændelser skal jeg ikke kunne sige.
Under alle omstændigheder vil jeg anse det hele for mere eller mindre opklaret med mindre der kommer nyt under solen.
Og, ja, det kan måske godt være den slammer-inficerede computers skyld. Det er den backbone-switch der servicerer vores kollegier som er den første til at sortere slammer-pakkerne væk. Hvis den har en eller anden bug i sig (jeg mindes at switch'ene blev skiftet for nyligt) så kan det jo godt være årsagen.
Jeg har selv boet på kollegie nær DTU, og mener at kunne huske, at K-NET, der driver samlingspunktet for ca. 2.500 kollegianere, blev nødt til at skifte en Olicom Layer 3 switch, da den gik ned pga. Nimda(?) HTTP requestene til switchens interne HTTP management konsol (som selvfølgelig ikke kunen slås fra). Olicom var allerede dødt dengang, så ... bad luck.
En maskine kan umuligt lægge et helt netværk ned - slet ikke et switched.
JP
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
