Video: Crimewatch 2014 Episode 7 Part 1 (Oktober 2024)
CyberBunker opererer ud af en nedlagt NATO-bunker; deraf navnet. Virksomheden hævder at være "den eneste ægte uafhængige hosting-udbyder i verden" og giver kunderne mulighed for anonymt at være vært for "alt indhold, de kan lide, undtagen børneporno og alt hvad der er relateret til terrorisme."
Dette løfte viste sig tilsyneladende attraktivt for en eller flere grupper af spammere, da SpamHaus spores betydelig spam-trafik tilbage til CyberBunker. De sortlistede CyberBunker og afbrød derved disse spammere fra næsten to millioner indbakker. Som gengældelse lancerede CyberBunker det, der er blevet kaldt det største cyberangreb nogensinde.
Forstærket angreb
CyberBunker forsøgte at lukke SpamHause med et alvorligt DDoS-angreb (Distribueret Denial of Service). SpamHaus kontaktede webbeskyttelsesfirma CloudFlare for at få hjælp. CloudFlare bestemte, at angriberen brugte en teknik kaldet DNS-reflektion til at generere overvældende mængder af webtrafik på SpamHaus's servere.
Domain Name System er en vigtig komponent på Internettet. DNS-servere oversætter menneskelige læsbare domænenavne som www.pcmag.com til IP-adresser som 208.47.254.73. DNS-servere er overalt, og deres sikkerhedsniveau varierer. I DNS-refleksion sender angriberen mange usikre DNS-opløsere en lille DNS-anmodning, der genererer et stort svar, og forfalsker returadressen til offerets adresse.
I et blogindlæg i sidste uge rapporterede CloudFlare, at over 30.000 DNS-opløsere var involveret. Hver 36-byte-anmodning genererede omkring 3.000 byte svar, hvilket forstærker angrebet med 100 gange. På sit højeste ramte angrebet SpamHaus med op til 90 Gbps irrelevante netværksanmodninger og overbelastede SpamHaus's servere.
Indirekte skader
CloudFlare formåede at afbøde angrebet ved hjælp af en teknologi, de kalder AnyCast. Kort fortalt annoncerer alle CloudFlires verdensomspændende datacentre den samme IP-adresse, og en belastningsbalancerende algoritme dirigerer alle indgående anmodninger til det nærmeste datacenter. Dette fortynder angrebet effektivt og giver CloudFlare mulighed for at blokere enhver angrebspakke fra at nå offeret.
Det var dog ikke slutningen. Ifølge New York Times vendte angriberen derefter deres syn direkte på CloudFlare, som gengældelse. The Times citerede CloudFlare-administrerende direktør Matthew Prince som: "Disse ting er i det væsentlige som atombomber. Det er så let at forårsage så meget skade." Artiklen bemærkede også, at millioner af brugere har fundet sig midlertidigt ude af stand til at nå ud til bestemte websteder på grund af det igangværende angreb, idet de specifikt nævner Netflix som et eksempel.
CloudFlare uddybede denne udvidede skade i et nyt indlæg i dag. Først gik angribere direkte efter SpamHaus. Dernæst fokuserede de deres angreb på CloudFlare. Da det ikke virkede, flyttede de angrebet opstrøms til "udbydere, fra hvilke CloudFlare køber båndbredde."
CloudFlears indlæg oplyste: "Udfordringen med angreb i denne skala er at de risikerer at overvælde de systemer, der forbinder selve Internettet." Og faktisk eskalerede dette angreb på udbydere af højeste båndbredde betydelige forbindelsesproblemer for nogle brugere, mest i Europa.
Gemmer sig ikke
Ifølge Times tog en talsmand for CyberBunker æren for angrebet og sagde "Ingen har nogensinde deputeret Spamhaus for at bestemme, hvad der går og ikke går på Internettet. De arbejdede sig selv i denne position ved at foregive at bekæmpe spam."
CyberBunker-webstedet kan prale af andre run-ins med regulatorer og retshåndhævelse. På historiens side hedder det: "De hollandske myndigheder og politiet har gjort flere forsøg på at komme ind i bunkeren med magt. Ingen af disse forsøg var succesrige."
Det er værd at bemærke, at SpamHaus faktisk ikke "bestemmer, hvad der foregår på Internettet." Som selskabets ofte stillede spørgsmål påpeger, kan e-mailudbydere, der abonnerer på SpamHaus's sortlister, blokere e-mails, der kommer fra sortlistede adresser; det er alt.
Beskyttelse er mulig
Heldigvis er der en måde at afslutte denne type angreb. Internet Engineering Task Force har offentliggjort en Best Current Practice-analyse (BCP-38), der beskriver netop, hvordan udbydere kan forhindre forfalskning af IP-kildeadresser og derved besejre angreb som DNS-reflektion.
CloudFlare har beskæftiget sig med en smule "navn og skam" -taktikker og offentliggør navnene på de udbydere med det største antal usikrede DNS-servere. Ifølge et CloudFlare-blogindlæg faldt antallet af åbne DNS-opløsere med fire procent efter fire måneder. Open Resolver-projektet viser 25 millioner usikre opløsere. Desværre, som CloudFlears indlæg bemærker, "de onde fyre har listen over åbne beslutningstagere, og de bliver mere og mere modne i de angreb, de er villige til at starte."
DNS-systemet er absolut vigtigt for, at Internettet fungerer. den har brug for den bedste beskyttelse, vi kan give den. Flere udbydere er nødt til at lukke sikkerhedshullerne, der tillader denne form for angreb. Et af CloudFlears erklærede mål er "at gøre DDoS til noget, du kun læser om i historiebøgerne." Vi kan håbe!
