Internet-apokalypse nu? eksperter siger nej

Det forstærkede DDoS-angreb fra webhotelleverandøren CyberBunker mod antispam-outfit SpamHaus Project er store nyheder. New York Times vejede også, ligesom BBC gjorde. Internetbeskyttelsesbureau CloudFlare rapporterede, at angrebet eskalerede op til leverandører af båndbredde i Tier 1, og at et DDoS-angreb på 300 Gbps bremsede forbindelserne for mange internetbrugere. Men vent et øjeblik. Oplevede du en afmatning? Det gjorde jeg heller ikke. Faktisk rapporterer en hel del eksperter nu, at selv dette største DDoS-angreb nogensinde ikke påvirkede mærkbart Internettet generelt.

Bare en blip?

Keynote Systems overvåger konstant responstiden på 40 "vigtige amerikanske baserede forretningswebsteder", der forbinder dem fra en række nøgleplaceringer over hele verden. Den gennemsnitlige responstid varierer, men har en tendens til at forblive omtrent i det samme interval. Og Keynote Performance Index viser kun en mild "blip" under angrebet.

Keynote-ekspert Aaron Rudger sagde, "Tallene lyver ikke - og det er et faktum." Han henviste til en graf over præstationer i de sidste fire uger, og bemærkede, at "de europæiske agenter rapporterer temmelig konsistent og normal præstation igennem… DDoS-begivenheden. Dog er der en lille blip, der dukker op."

”Vi kan se, ” sagde Rudger, ”at de europæiske agenter oplevede langsommere responstider - op til 40% langsommere end gennemsnittet - mellem kl. 08.30 og 14:30 (PST) den 26. marts. Det er muligt, at Spamhaus-angrebet kunne være relateret til denne afmatning, men vi kan ikke være sikre. " Rudger bemærkede, at tusinder af mennesker, der streamer den store fodboldkamp, ​​der fandt sted på samme tid, kunne forklare afmatningen. "Han afviser påstanden om, at angrebet forårsagede dage med forstyrrelse og sagde:" Vi ser simpelthen ikke fra vores data."

Bare Hype?

I et omfattende blogindlæg går Gizmodos Sam Biddle et skridt længere og beskylder CloudFlare for at overdrive problemet til deres egen fordel. CloudFlare, siger Biddle, er "ansvarlig for den skyfaldende internet vejrrapport, det parti, der står for at drage fordel af at du er bekymret for, at Internettet, som vi kender det er under belejring."

Biddles artikel viser grafer fra uafhængige kilder (svarer til Keynote), der ikke viser nogen pigge i trafikken eller dypperne i responstiden. En rapport fra Amazon om Netflix's hosting viste nul strømafbrydelser i løbet af ugen. En talsmand for NTT, "en af ​​internetbaserede operatører på internet", erklærede, at selvom et 300 Gbps-angreb er massivt, har de fleste regioner kapaciteter i Tbps-området, og konkluderede "Jeg er en side med dig, der spørger, om det rystede det globale internet."

Biddle konkluderer, at CloudFlare "forsøgte at skræmme internetets beboere og troede, at de var beboerne i Dresden for at tromme forretning." "Hvis dit produkt er en forbandelse værd, " sagde Biddle, "skulle du ikke være nødt til at lyve på internettet for at sælge det." Stærk ord faktisk.

Kaster lys over problemet

Adam Wosotowsky, Messaging Data Architect hos McAfee Labs, har lyst til at skære CloudFlare en smule. Selv hvis de overdrev situationen, "er der ingen skade i den." Han påpeger, at opmærksomhed på problemet kan hjælpe "mindre forberedte steder derude, som ikke er klar til denne type situation, simpelthen fordi de ikke pirker i hornets reden hele dagen." At få ordet ud betyder, at disse virksomheder "kan drage fordel af at vide, at deres problem ikke er unikt, og at der faktisk er virksomheder, der er specialiserede i at hjælpe dem med at afværge angrebene."

Hvad angår den rapporterede afmatning, bekræftede Wosotowsky, at McAfee fandt nogle websteder "væsentligt påvirket." Han bemærkede, at på grund af størrelsen på angrebet, kunne det meget vel have indflydelse på "tangentielle tjenester, der er på et tidspunkt i deres vej ved hjælp af den samme båndbredde."

"Det faktum, at en kolossal freak-out ikke er berettiget, " sagde Wosotowsky, "mindsker ikke betydningen af ​​analysen… Fra perspektivet om at udrydde sikkerhedsparadiser for malware-forfattere og botmasters er historien faktisk værdig."

Penge og magt

Kaspersky Labs globale forsknings- og analyseteam udtrykte ikke nogen tvivl om, hvor alvorligt angrebet var, og bemærkede, at "dataflowet, der genereres af et sådant angreb, kan påvirke mellemliggende netværksknudepunkter, når det passerer dem, og dermed hindrer operationer af normale webservices, som har intet forhold til Spamhaus eller Cyberbunker. " De fortsatte med at konstatere, at "DDoS-angreb af denne type vokser både med hensyn til mængde og skala."

Hvorfor denne stigning? Holdet bemærkede to store (og undertiden overlappende) motiveringer. "Cyberkriminelle udfører DDoS-angreb for at forstyrre selskaber i et forsøg på at afpresse penge fra dem, " sagde holdet. De kan også "DDoS-angreb som et våben til at forstyrre organisationer eller virksomheder i forfølgelse af deres egne ideologiske, politiske eller personlige interesser." Uanset hvad kan massive DDoS-angreb som dette forstyrre tjenesten i mere end blot angrebets mål.

Vær opmærksom!

CyberBunker-angrebet brugte DNS-reflektion, en teknik, der giver dem mulighed for at sende en lille datapakke, der igen får en DNS-server til at sprøjte en meget større pakke på målet. Faktisk forstærker det angrebet hundrede gange. Ja, der er andre måder at implementere et DDoS-angreb på, men dette er BFG9000 for flokken. At gøre DNS-reflektion umulig ville være en god ting.

Open DNS Resolver Project viser over 25 millioner servere, som deres test viser "udgør en betydelig trussel." IT fyre, vær opmærksom! Er din virksomheds DNS-servere på den liste? Foretag en lille undersøgelse og sikr dem mod angreb som falske IP-adresser. Vi vil alle takke dig.