På denne siden
Hva er Nettradar BGP-hendelser DDoS-angrep Dashboard-paneler BGP-aktivitet AS-Topologi Datakilder
Om denne siden

Sanntids-radar for norsk internett.

Nettradar viser tilstanden til norsk internettinfrastruktur etter hvert som den endrer seg — BGP-ruteendringer, DDoS-angrep og sikkerhetsvarsler. Alt som vises er ekte, live data fra åpne kilder.

BGP-hendelser umiddelbart
Angrep & varsler hvert 60. s
Overvåkede ASN-er 13 norske
Lagring ingen
Protokoll

BGP-hendelser

BGP (Border Gateway Protocol) er protokollen alle nettverksoperatører bruker for å annonsere hvilke IP-adresser de er ansvarlige for. Tenk på det som et digitalt veikart som oppdateres kontinuerlig.

Nettradar lytter på den globale BGP-datastrømmen fra RIPE RIS Live og filtrerer ut alle meldinger som involverer norske nettverk. Fire typer hendelser overvåkes:

UPDATE Annonsering
En operatør melder: «IP-blokken 185.93.54.0/24 er tilgjengelig via meg.» Skjer ved oppstart av rutere, failover til backup eller når nye IP-blokker tas i bruk. Hundrevis i minuttet er normalt.
WITHDRAW Tilbaketrekk
«Den IP-blokken er ikke lenger tilgjengelig via meg.» Kan bety planlagt vedlikehold eller failover. Isolerte tilfeller er ufarlige; mange på kort tid kan signalere driftsavbrudd.
HIJACK Hijack
En aktør annonserer en IP-blokk som tilhører en annen operatør — uten rett til det. Vanligvis feilkonfigurasjon, sjelden bevisst angrep. BGP har ingen innebygd verifisering. Berørte noder vises i 30 sekunder i topologien.
ROUTE LEAK Rutelekkasje
En operatør videresender ruter til naboer den ikke skulle ha propagert. Trafikk kan bli feilrutet uten at noen vet. Vanligere enn hijacks, oftest feil i ruterkonfigurasjon.
Prefiks-notasjon: IP-blokker skrives som 185.93.54.0/24. Tallet etter skråstreken angir størrelsen — /24 er 256 adresser, /16 er 65 536. IPv6 fungerer likt (f.eks. 2a02:ac81::/32).
Angrep mot norske nettverk

DDoS-angrep

Cloudflare Radar rapporterer DDoS-angrep mot norsk infrastruktur hvert 60. sekund. Nettradar viser siste 24 timers aktivitet som en tidsserie, delt i to angrepskategorier:

L7 Applikasjonslag (HTTP)
Angrep som oversvømmer webservere med HTTP-forespørsler — flooder API-er, login-sider og CDN-er. Lett å sende, vanskelig å skille fra ekte brukere. Eksempler: HTTP flood, Slowloris, cache-bust.
L3/4 Nettverks- og transportlag
Volum-angrep som metter båndbredde eller overvelder rutere — UDP flood, SYN flood, ICMP flood, amplifikasjon via DNS/NTP. Måles i Gbps eller Mpps, ikke i antall forespørsler.

Normalisert intensitet: Y-aksen i DDoS-grafen går fra 0 til 1,0. Verdien 1,0 tilsvarer den høyeste observerte intensiteten i de siste 24 timene for den angrepskategorien — ikke et absolutt trafikktall i Gbps. Dette gjør det enkelt å se relative topper og trender uten å forholde seg til store rå-tall.

Kilde-AS vs. opprinnelsesland: Kilde-AS er nettverket (f.eks. en skyplattform eller et botnet-vert-ISP) som angrepspakkene faktisk sendes fra. Opprinnelsesland er landet kilde-IP-en er registrert i. Disse kan avvike — angripere leier gjerne servere i nøytrale land eller bruker kompromitterte maskiner spredt globalt.

Kun Cloudflare-trafikk: Dataene dekker utelukkende angrep mot tjenester som er bak Cloudflare. Angrep mot infrastruktur som ikke benytter Cloudflare — f.eks. rene ISP-nett og on-premise-servere — er ikke synlig her.
Hva du ser på forsiden

Dashboard-paneler

Forsiden viser tre seksjoner som hver svarer på et spørsmål:

«Er det noe galt akkurat nå?»
Sikkerhetsvarsler
Aktive BGP-hijacks og route leaks oppdaget av Cloudflare Radar, samt hijacks fanget i sanntid fra RIPE RIS Live. Grønt = ingen. Rødt = noe krever oppmerksomhet.
«Hvor mye DDoS-trafikk?»
DDoS-aktivitet
Time-for-time L7 (HTTP) og L3/4 (volum) angrep mot norsk infra. Y-aksen er normalisert: 1,0 = dagens topp for den typen, ikke et absolutt trafikktall.
«Hvem og hvor stammer det fra?»
Opprinnelse
Kilde-AS (hvilket nettverk angrepstrafikken kommer fra) og kilde-land (hvilken stat kilde-IP-en er registrert i). De fleste angrep bruker kompromitterte servere på tvers av land.
Egen fane

BGP-aktivitet

BGP-aktivitet-siden gir to visninger av sanntidsdata fra norske nettverk:

Sammendrag — en tabell som summerer annonseringer, tilbaketrekk og hijacks per operatør siden siden ble lastet. Oppdateres automatisk hvert 30. sekund. Sorterbar.

Logg — en løpende strøm, nyeste øverst, de 150 siste hendelsene. Hijack-rader markeres rødt. Teller for hend/min i panelet reflekterer faktisk BGP-aktivitet i norsk infrastruktur nå.

Egen fane

AS-Topologi

Et AS (Autonomous System) er et nett av IP-adresser under felles administrasjon — typisk en ISP, et mobilnett eller en stor bedrift. Hvert AS har et unikt nummer (ASN). Telenor er AS2119, UNINETT er AS2116, og så videre.

Topologigrafen viser norske AS-er som noder. En linje mellom to noder betyr at begge dukket opp i samme BGP-rutingsti i live-dataen — altså at de faktisk ruter trafikk gjennom hverandre.

Farger og størrelser
aktiv — siste 5 sek.
overvåket — ingen fersk
gul ring — tilbaketrekk siste 15 sek.
rød node — hijack siste 30 sek.
Nodestørrelse skalerer med antall BGP-hendelser i økten. Grafen bygger seg opp etter hvert som data strømmer inn — 30–60 minutter for komplett bilde. Interaksjon: dra noder, scroll for zoom, hover for detaljer.
Hvor dataene kommer fra

Datakilder

RIPE RIS Live
Persistent WebSocket-strøm av globale BGP-oppdateringer. Filtrert på norske AS-nummer og prefikser. Gratis, ingen nøkkel.
↗ ris-live.ripe.net
Cloudflare Radar
L7- og L3/4 DDoS-tidsserier, BGP-hijacks, route leaks og angrepenes opprinnelse for Norge. Oppdateres hvert 60. sekund.
↗ radar.cloudflare.com
PeeringDB
Register over norske nettverksoperatører og AS-nummer. Lastes ved oppstart og oppdateres daglig.
↗ peeringdb.com

All data er offentlig tilgjengelig. Nettradar lagrer ingenting — hendelser holdes kun i minnet og nullstilles ved serveroppstart.