Największy atak DdoS w historii sieci Internet.

Fundacja Bezpieczna Cyberprzestrzeń

Największy atak DdoS w historii sieci Internet.

Od kilkunastu dni jesteśmy świadkami jednego z największych ataków w historii sieci. Ofiarą takiego ataku DDoS o niespotykanej sile stała się organizacja znana ze swych kontrowersji w zwalczaniu spamu – Spamhaus. The New York Times pisze, że za atakiem na Spamhaus stoi firma Cyberbunker, holenderski dostawca usług hostingowych. W wyniku walki dwóch organizacji rzekomo spowolnieniu uległa komunikacja w kluczowych węzłach internetu.

Organizacja Spamhose prowadzi listy znanych adresów spamerów, tzw. DNSBL. To jest mechanizm, który pozwala każdemu zainteresowanemu zweryfikować listy adresów IP pod kątem tego, czy były używane do rozsyłania spamu.

Spamhaus jest chyba największym źródłem informacji o spamerach a jego działalność jest tak znacząca, że trafienie na czarną listę, którą prowadzi Spamhaus może odznaczać się problemami z doręczeniem wiadomości na całym świecie.
Jednak Spamhaus wzbudza kontrowersje ze względu na formę nacisku jaki stosuje. Np znany przypadek austriackiego rejestru domen nic.at. Austryjacy odmówili wykonania prośby Spamhous o zawieszenie domen używanych w atakach phishingowych uznając taką decyzję za sprzeczną z austriackim prawem, nie chcieli brać udziału w „samosądzie“.

Ataki na serwer www Spamhous zaczęły się około 15.03 a 18.03 przybrały na sile, wówczas Spamhaus zwrócił się do firmy Cloudflare o pomoc w walce z atakiem. Cloudflare pomaga i sytuacja zostaje opanowana. Większa część ruchu, kierowana do serwera Spamhausu, pochodziła z ataku znanego jako DNS Reflection.

Atakujący wysyłał pakiet o rozmiarze kilkudziesięciu bajtów do nieprawidłowo skonfigurowanego serwera DNS, fałszował adres nadawcy.
Serwer DNS odpowiada pakietem kilku kilobajtów i przesyła go na fałszywy adres – do celu ataku. To jest powód uzyskania przez atakującego 100-krotnie wzmocnionego ataku nie ujawniając własnej tożsamości. Atakujący mogą generować ogromne ilości ruchu przy wykorzystaniu setek tysięcy nieprawidłowo skonfigurowanych serwerów DNS na całym świecie, (dodajmy, że nie obciążyło to nawet przesadnie łączy atakującego).

W trakcie ataku odnotowano wykorzystanie 30 tysięcy serwerów DNS, które wysłały łącznie ponad 75Gb ruchu na sekundę.
W pomocy Spamhousowi Cloudflare zastosował mechanizm „anycast”. Odbiera on generowany ruch, dzieląc go na 23 punkty odbioru, (posiadając 23 centra danych na całym świecie). Atak wówczas stał się łatwiejszy do opanowania.

Atakujący, widząc, że ich wysiłki nie skutkują zmienili strategię ataku.
Przerzucili się na węzły wymiany ruchu na całym świecie, z których korzystają centra danych Cloudflare’a. Na razie Cloudflare’a radzi sobie z obsługą zwiększonego ruchu, ale wg The New York Times użytkownicy zaczynają odczuwać problemy z łącznością (?). The New York Times pisze także, ze za atakiem na Spamhaus stoi firma Cyberbunker, holenderski dostawca usług hostingowych. Firma ta posiada jedną z najlepiej zabezpieczonych serwerowni na świecie (umiejscowionym w byłym bunkrze przeciwatomowym NATO).

Ataki typu DDoS są powszechnym zjawiskiem w Internecie. Nie są trudne w inicjacji a także są tanie w przeprowadzeniu, a skutki mogą być znaczne dla firm czy przedsiębiorców. Dlatego dosyć ważne jest odpowiednie przygotowanie, a także umiejętność identyfikacji pierwszych symptomów ataku DDos i przeciwdziałanie im już we wstępnej fazie

 

Share Button