Under lördagskvällen drabbades svensk media av överbelastningsattacker som slog ut ett flertal mediabolags webbplatser.

Enligt den information som CERT-SE fått så handlar det om två tidsmässigt överlappande attacker där några få mediabolags webbplatser var det primära målet.

Med tanke på att trafiken härstammar från flera olika regioner är det omöjligt att säkerställa vilka som ligger bakom angreppet. Med tanke på attackernas mönster är det troligt att ett “botnet” använts.

Annan högst intressant information är att angreppen - till motsats mot bilden som varit framträdande i media - är riktade mot väldigt få mål. Att många mediabolag och även andra organisationer blev drabbade är en effekt av de använder sig av samma infrastruktur och på så sätt samtidigt blivit överbelastade.

Det har varit många spekulationer om attackerna. CERT-SE har varit kontakt med flera inblandade internetleverantörer vilka gett sin bild av attackerna.

Attack 1

Attacken inleddes vid 19:30-tiden lördag 19/3. Trafiklasten uppgick ganska omgående till ca 50Gb/s (runt 100 miljoner paket per sekund) och bestod till 80% av så kallade “Christmas Tree”-paket, resterande var så kallad “SYN flood”. Attacken riktades mot TCP portarna 443 samt 80. Trafiklasten var som störst under första timmen av attacken som avtog runt 23:40. Källadresserna var både “spoofade” och korrekta.

Attack 2

Attacken hos leverantören Basefarm inleddes vid vid 20:40-tiden lördag 19/3 och avtog ca. 23:40. Här vet vi inte hur stor trafiklasten var. Angreppet som bestod till största del av UDP-trafik mot port 53 och 80 samt en liten mängd ICMP- och fragementerings-trafik. Detta var en så kallad förstärkningsattack (amplifieringsattack).

För mer information:
SYN-flood - https://en.wikipedia.org/wiki/SYN_flood
Christmas Tree Attack - https://en.wikipedia.org/wiki/Christmas_tree_packet
IP-spoofing - https://en.wikipedia.org/wiki/IP_address_spoofing
DDoS - https://en.wikipedia.org/wiki/Denial-of-service_attack
Botnet - https://en.wikipedia.org/wiki/Botnet