21.10.2016 | 15:49

Adam Haertle

Duży atak DDoS powoduje problemy z dostępem do wielu usług

Atak DDoS na firmę Dyn, zarządzająca usługami DNS wielu popularnych internetowych serwisów, powoduje duże problemy z dostępem do niektórych internetowych usług. Co ciekawe z problemami najlepiej radzą sobie strony pornograficzne.

Od około godziny pojawiają się problemy z dostępem do takich serwisów jak Twitter, Etsy, Github, SoundCloud, Spotify, Heroku, Pagerduty czy Shopify. Wszystkie te firmy korzystają z usług tego samego dostawcy DNS, firmy Dyn. Brak dywersyfikacji usług DNS pokazuje, że tego rodzaju problemy warto przewidzieć z odpowiednim wyprzedzeniem i zaplanować odpowiednio konfigurację kluczowych usług.

Problemy, wszędzie problemy

Firma Dyn ok. 2h temu ogłosiła, że jest ofiara ataku DDoS, dotykającego głównie klientów ze wschodniego wybrzeża USA.

dyndns01

Jedną z najbardziej zauważalnych ofiar jest GitHub:

dyndns02

Problemy mają klienci Shopify, którzy tracą klientów:

dyndns03

Przejściowe problemy raportował także AWS. Co ciekawe, jak zauważył jeden z uzytkowników Hacker News, jest pewna branża, w której dostępność usług jest najwyraźniej wyższym priorytetem niż w przypadku GitHuba czy Twittera:

 $ dig @8.8.8.8 ns +short pornhub.com
  ns2.p44.dynect.net.
  ns3.p44.dynect.net.
  ns4.p44.dynect.net.
  sdns3.ultradns.net.
  sdns3.ultradns.com.
  sdns3.ultradns.org.
  sdns3.ultradns.biz.
  ns1.p44.dynect.net.

Pozostaje mieć nadzieję, że obrońcy szybko uporają się z atakiem a potem wezmą przykład z PornHuba – przynajmniej w zakresie konfiguracji usługi DNS. Sytuację najlepiej monitorować na Hacker News.

Powrót

Komentarze

  • 2016.10.21 17:03 Mariusz

    No właśnie najważniejsze żeby strony pierwszej potrzeby były dostępne a reszta może mieć chwilowe problemy i nie musi być znowu aż tak dobrze zabezpieczona.

    Odpowiedz
  • 2016.10.21 18:28 Korro

    Leży już i sam Twitter. Grubo…

    Odpowiedz
  • 2016.10.21 18:42 Riko

    PlayStation Network i Netflix też padły ofiarą tego ataku.

    Odpowiedz
  • 2016.10.21 19:19 SasQ

    Heh… miałem nosa :P
    Właśnie wiele serwisów mi nie działało (nie znajdowało serwerów), więc pomyślałem, że to może znów jakieś ataki na serwery DNS, i postanowiłem tutaj zajrzeć, czy może coś na ten temat nie ma. No i jak widać jest :q

    Odpowiedz
  • 2016.10.21 19:46 Subfire

    Obecnie również platforma Netfilx posiada pewne problemy z dostępnością.

    Odpowiedz
  • 2016.10.21 20:09 Subfire

    Poniżej pełna lista serwisów doświadczających problemów (na chwilę obecną):
    ActBlue
    Basecamp
    Big cartel
    Box
    Business Insider
    CNN
    Cleveland.com
    Esty
    Github
    Grubhub
    Guardian.co.uk
    HBO Now
    Iheart.com (iHeartRadio)
    Imgur
    Intercom
    Intercom.com
    Netflix
    Okta
    PayPal
    People.com
    Pinterest
    Playstation Network
    Recode
    Reddit
    Spotify
    Squarespace Customer Sites
    Starbucks rewards/gift cards
    Storify.com
    The Verge
    Twillo
    Twitter
    Urbandictionary.com
    Weebly
    Wired.com
    Wix Customer Sites
    Yammer
    Yelp
    Zendesk.com
    Zoho CRM

    Odpowiedz
  • 2016.10.21 20:34 nolife

    No dobra, ale po co się robi takie ataki? Rozumiem najazd na Krebsa, rozumiem rozwalenie świąt Sony i Microsoftowi, rozumiem różne anon-raidy na scjentologów czy VISA (co nie znaczy że coś z tego popieram, po prostu rozumiem dlaczego się wydarzyły) ale to? To jakiś pokaz siły, ale czy nie lepiej zostać w ukryciu do momentu kiedy ma się rzeczywisty cel?

    Odpowiedz
    • 2016.10.22 12:02 Michał

      Taki atak może sporo kosztować te strony, więc może po prostu komuś coś się nie podobało.
      Albo znów ktoś chcę zniszczyć internet.

      Odpowiedz
      • 2016.10.24 01:04 nolife

        Tak, to też przeszło mi przez myśl – „wyłączyć Internet”. Ale nadal nie ogarniam – po co ktoś wzbudzałby globalny „alert” tak po prostu? Przecież to raczej działa na niekorzyść atakującego – następny atak w teorii powinien być teraz trudniejszy bo pewne podatności vel wektory ataku zostały ujawnione.

        Dopuszczałem jeszcze możliwość szantażu za kasę, ale z tego co czytam to raczej nie ten scenariusz – takowych nie było albo nikt się nie przyznał.

        Nawet zakładając wariant „żeby wyłączyć Internet” nie potrafię dopasować układanki. Kto i dlaczego miałby się z tym zdradzać, a może chodzi właśnie o to żeby zacząć traktować takie zagrożenie priorytetowo?

        Odpowiedz
  • 2016.10.21 20:39 Bili

    Nie mogłem się dostać na soundcloud’a a tutaj dowiedziałem się dlaczego.
    Co ciekawe z Polski najpierw nie szło się zalogować a teraz do tej pory nie mogę się dostać, z Niemiec działa bez problemu.

    Odpowiedz
  • 2016.10.21 20:56 tolep

    Spotify i fejs działają. W piąteczek inne serwisy są nieistotne

    Odpowiedz
    • 2016.10.22 20:24 Dzban

      napływ z gazetapeel xD?

      Odpowiedz
  • 2016.10.21 21:13 Wojtek

    Dodałbym do listy Fotolia.

    Odpowiedz
  • 2016.10.21 21:41 ImiesłówPrzymiotnikowy

    a ja właśnie chciałem napisać „ezoteryczny Poznań” na tt, cholera świat będzie uboższy :( W ogóle to chciałem jak co wieczór prześledzić profile zatroskanych o losy świata bezpieczniaków z Polski i się zaangażować, myśląc który pierwszy dostałby w maskę i za co bardziej a tu taki psikus hm a co by było gdyby już tak pozostało ?

    Odpowiedz
  • 2016.10.21 22:18 Michał

    Masakra. Atak także sparaliżował np. serwery npmjs.org uniemożliwiając wielu programistom ściąganie/aktualizację zewnętrznych zależności.

    Odpowiedz
  • 2016.10.22 00:24 b

    Czyli co, Chińczycy jeśli chcą to mogą wyłączyć cały internet?

    Odpowiedz
  • 2016.10.22 01:32 Jintao

    Odnosnie listy podanej przez Subfire.
    Weebly poinformowalo swoich klientow, ze zostaly wykradzione pewne dane z ich bazx:

     
    „Hello,

    Weebly recently became aware that an unauthorized party obtained email addresses and/or usernames, IP addresses and encrypted (bcrypt hashed) passwords for a large number of customers. Encrypted passwords are difficult to read or decode, and we do not believe that any customer website has been improperly accessed.

    We do not store any full credit card numbers, and so we do not believe that any credit card information which can be used for fraudulent charges was a part of this incident.”

    Odpowiedz
  • 2016.10.22 09:25 w.kuk

    czy już wiadomo, jakiej podatności użyto do wywołania takiego dużego wolumenu pakietów? jakiś konkretny botnet był do tego wykorzystany?
    lub czego użyto jako reflection/multiplikatora ?

    skoro to atak na DNS (i zapewne dynetc.net ładnie od dawna wycinał ruch inny niż UDP 53), można przypuszczać, że to albo jakiś wielki botnet wykonywał kwerendy właśnie po UDP 53, albo miliony serwerów DNS mają jakąś dziurę i uderzano do nich spoofując IPki dynetc, lub wymuszając jakieś masowe/zapętlone próby forwardowania przez te serwery kwerend do dynetc’a.
    To drugie jest bardziej niebezpieczne, bo oznacza, że zaraz pojawią się setki naśladowców – tak jak to było z dziurą w NTP 2 lata temu.

    Dotarł ktoś z Was już do tego, co to było?

    ps. to, że duże poważne firmy korzystają z jednego dostawcy NSów – a ów dostawca (nawet, jeżeli ma serwery rozsiane po całym świecie) nazywa je xxx.xxx.dynetc.net, to wołanie się o kłopoty (wystarczy uwalić domenę dynetc.net). Powinni mieć nameservery rozsiane nie tylko fizycznie, ale i w przestrzeni nazewniczej (np. dynetc1.com, dynetc2.net, dynetc3.co.uk itd.).
    W Polsce większość dużych serwisów się bardziej szanuje i ma nameservery u kilku dostawców.

    Odpowiedz
  • 2016.10.22 10:24 olek Odpowiedz
  • 2016.10.22 11:55 Bili

    Potwierdzam to co wyżej że do mapy norsecorp nie szło się dostać wczoraj bo też chciałem popatrzeć, dzisiaj na chwilę pisania tego postu działa ok.

    Odpowiedz
  • 2016.10.22 14:58 St

    Eve Online również było poszkodowane przez ten atak.

    Odpowiedz
  • 2016.10.24 09:12 Mrmgr Odpowiedz
  • 2016.10.27 16:00 DataSpace

    O niezabezpieczonym „internecie rzeczy” była mowa na Internet Beta Conference już w 2015 roku. Zachęcam do wygooglowania sobie filmiku: „zaatakowany przez własną lodówkę” ;) oraz na dataspace.pl/blog/ w którym w ciekawy sposób zmierzamy się z tematyką ataków ddos.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Duży atak DDoS powoduje problemy z dostępem do wielu usług

Komentarze