Nu har det gått några dagar sedan den omfattande DDoS-attacken genomfördes. Jag tänkte göra en enkel Post Mortem-analys för att sammanfatta vad som skett och till viss del sagts.

Om man scannar nyhetsflödet så verkar  det finnas konsensus kring att attacken var omfattande, kanske inte i trafikmängder (enligt Jon Karlung, VD på Banhof så var det normala trafikmängder men märklig effekt) men väl i konsekvenser.

Om man förutsätter att Jon Karlung har rätt (han har ofta det) och läser vad Mikael Westerlund, teknikchef på IP-Only, en av de drabbade operatörerna, säger om attacken så kan man dra en del slutsatser. När man skickar nya, unika anrop så måste servern arbeta mer eftersom det inte finns en cachelagrad kopia av sidan, och då måste servern leta i databaser och filsystem efter den sida som efterfrågas. Detta tar lite mer tid än att läsa in en cachelagrad kopia från disk eller minne (eller för den delen från ett CDN, Content Delivery Network, om sådant används) och när det skickas många miljoner anrop per sekund mot en webbsajt blir det trögt, och ju fler anrop, ju trögare blir det.

En ”normal” DDoS-attack brukar ofta bestå av samma anrop, men med många avsändare (t.ex. att man frågar efter en specifik resurs eller sida) vilket gör det enkelt att identifiera all trafik som ingår i attacken. I detta fallet har man använt olika anrop hela tiden, vilket gör det mycket svårare att filtrera bort trafik, då måste man börja blockera hela avsändarnät (kan bli att man blockerar en hel ISP för att få stopp på några hundra datorer som skickar skräp). Och om vi pratar 100.000 datorer eller mer som använts i attacken så är det ett antal nätblock att filtrera bort (och med väldigt stora konsekvenser för andra användare i dessa nätblock som inte deltar i attacken). Att identifiera och blockera tar givetvis tid, speciellt när det inte går att blocka en viss typ av anrop, så därför var de attackerade sajterna drabbade under relativt lång tid.

Attacken i sig har en viss finess över sig. Den som utfört attacken är rimligtvis ingen nybörjare, utan här är det någon med kunskaper kring hur man avvärjer DDoS-attacker på nätnivå som varit inblandad. Det finns tekniska kunskaper på rätt avancerad nivå bakom attacken (eller verktyget som utförde attacken). Det finns inte heller någon gruppering som sagt att dom ligger bakom attacken, vilket borde skett vid det här laget om så var fallet. En relativt ovanlig attack av större omfattning går givetvis att köpa, men det är inte en av de billigare attackerna man kan köpa. Utan här har det antagligen kostat en slant, och då vill man säkerligen nyttja detta, om man nu inte sitter på en större påse pengar och ska göra fler saker i närtid, då kan det finnas anledningar till att vänta lite med att ta på sig ansvaret för attacken.

Jag lutar mest åt att det är främmande makt som testat antingen oss som nation, vissa operatörer, några mediesajter eller sitt nya verktyg. Ryssland är väl mest troligt, men långt i från säkert.

Oavsett vem eller vilka som ligger bakom attacken så är jag helt övertygad om att det inte är en ”attack mot det fria ordet” som media i allmänhet verkar tro. Att blockera ett mediahus några timmar är i så fall en rätt meningslös attack. Ska man attackera det fria ordet lär man ju se till att avbrottet blir bra mycket längre än några timmar en lördagskväll när de flesta konsumerar alkohol i stället för nyheter, ledar- och kultursidor.

Mediehusen som gör anspråk på att vara rikstäckande och ambitiösa i sin nyhetsförmedling behöver se över sina tekniska lösningar så att de inte drabbas igen. En seriös diskussion med sin ISP och en påse pengar från ledningen räcker en bra bit på vägen. Förr eller senare lär det komma attacker som verkligen är riktade mot media, med syfte att förhindra nyhetsförmedling, och då måste man vara bättre förberedd än vad man är idag.

Den enda stora medieaktör som klarar detta idag är SR/SVT. Man har en annan teknisk lösning än övriga mediehus som gör att man har god kapacitet och hög teknisk kompetens att hantera problem av denna typ (på pappret, jag har inte tagit del av verkliga, inträffade händelser/attacker). Det känns tryggt då mycket av rikets information vid kriser kommer att ske via SR/SVT, som då också blir ett tänkbart mål för någon som har ont uppsåt.