Ktoś sprawdza, czy internet da się wyłączyć – i robi to całkiem sprytnie

dodał 22 września 2016 o 12:44 w kategorii Info  z tagami:
Ktoś sprawdza, czy internet da się wyłączyć – i robi to całkiem sprytnie

Czy internet można po prostu wyłączyć? Raczej nie, można jednak uniemożliwić korzystanie z niego znakomitej większości użytkowników. Wystarczy wyłączyć serwery DNS by zwykli internauci zostali odcięci od swoich ulubionych serwisów.

Nieustaleni sprawcy (choć tropy prowadzą rzekomo do jednego kraju) od dłuższego czasu testują odporność systemu serwerów DNS na różne formy ataków. Testy te nie mają na celu wyłączenia infrastruktury DNS, lecz najwyraźniej osoby za nimi stojące w inteligentny sposób badają możliwości jej obrony. Jest to dość niepokojące i warto się temu tematowi bliżej przyjrzeć.

Serwery dzięki którym działa internet

W grudniu zeszłego roku napisaliśmy o ciekawych atakach na główne serwery DNS. Serwery tłumaczące nazwy domen na adresy IP czyli ułatwiające poruszanie się po internecie znakomitej większości internautów (przyznajcie się, ile adresów IP popularnych serwisów znacie na pamięć?), posiadają hierarchiczną strukturę. Na jej szczycie znajduje się 13 tzw. serwerów głównych, oznaczonych literami od A do M. Serwery te odpowiadają za właściwe kierowanie zapytań do serwerów niższego rzędu. Każdy z 13 serwerów ma oczywiście wiele swoich kopii, rozsianych po całym świecie. Na przykład w Polsce serwer K ma kopie w Poznaniu, Gdyni i Warszawie, a w stolicy znajdują się także kopie serwerów D, E, F i J. Dzięki takiemu rozproszeniu (aktualnie system obsługuje 628 serwerów w różnych lokalizacjach) i odpowiedniej konfiguracji sieciowej rozwiązanie to powinno być jednym z najbardziej odpornych na ataki na świecie. Mimo tego ktoś sprawdza, czy można je wyłączyć.

O incydentach związanych z dostępnością serwerów DNS napisał kilka dni temu słynny Bruce Schneier, jeden z największych autorytetów w obszarze bezpieczeństwa. Jego artykułu nie chciały opublikować szanowane magazyny poświęcone kwestiom IT, zarzucając brak namacalnych dowodów. My nie widzimy powodów, by nie ufać jego publikacjom, poza tym część dowodów można jednak znaleźć w sieci.

Tajemnicze testy

Bruce informuje, że dwie różne firmy, odpowiadające za obsługę serwerów DNS, poinformowały go niezależnie od siebie o dziwnych atakach które obserwują od pewnego czasu. Po publikacji artykułu odezwały się do niego kolejne 3 firmy, zatem zjawisko wydaje się być dość powszechne. Ataki DDoS nie są dla nikogo zaskoczeniem i główne serwery DNS bywały ich celami. Teraz jednak ataki wyglądają inaczej. Ich celem nie jest jak najszybsze wyłączenie serwerów przez zapchanie ich łączy lub wyczerpanie mocy obliczeniowej. Ataki wydają się być nastawione na sprawdzenie, z jaką skalą zagrożenia poradzą sobie administratorzy. Przykładowe scenariusze obejmują powoli, systematycznie narastający ruch w kierunku serwera, który w pewnym momencie całkowicie znika, by po tygodniu powrócić, zaczynając jednak już z innego poziomu – zupełnie jakby ktoś szukał punktu, w którym serwery przestaną odpowiadać. Ataki osiągają większy wolumen niż obserwowane wcześniej, trwają dłużej niż kiedyś i są bardziej wyrafinowane. Często łączą ze sobą różne metody ataku, mieszając trzy – cztery scenariusze pod kątem używanych protokołów i rodzajów pakietów. Atakowane firmy muszą używać wszystkich swoich mechanizmów obronnych naraz, by powstrzymać napastników. Oprócz ataków DDoS zdarzają się także inne rodzaje ataków, jak np. wstrzyknięcia nieprawidłowych tras BGP, dotykających właśnie infrastruktury DNS.

Szczegóły ataków

Choć Bruce Schneier nie wskazuje na niezależne źródła informacji potwierdzające jego historię, sprawdziliśmy jak w ostatnich dwóch latach wyglądała dostępność serwerów DNS. Natrafiliśmy na dwa dobrze widoczne incydenty. Pierwszy z nich miał miejsce 30 listopada i 1 grudnia 2015 roku. Wykres dostępności serwerów DNS wyglądał wtedy tak:

dns02

Znaleźliśmy także opis tych incydentów. Według operatorów głównych serwerów DNS 30 listopada o godzinie 6:50 część serwerów zaczęła otrzymywać ogromną liczbę identycznych zapytań. Wszystkie były prawidłowo zbudowanymi zapytaniami DNS i dotyczyły jednej domeny, przychodziły jednak z praktycznie całej adresacji IPv4 i było ich całkiem sporo – każdy z atakowanych serwerów otrzymywał ok. 5 milionów zapytań na sekundę. Atak zakończył się ok. 9:30, by powrócić następnego dnia o godzinie 5:10 – lecz z inną nazwą domeny. Druga fala trwała do 6:10. Jak widać na wykresie, niektóre serwery atak zniosły lepiej niż pozostałe. Co ciekawe, nie wszystkie serwery były celem ataku.

Drugi znaleziony przez nas atak miał miejsce 25 czerwca 2016. Wykres dostępności serwerów wyglądał wówczas tak:

dns01

Tym razem oberwało się wszystkim serwerom – choć nie wszystkie ucierpiały w takim samym stopniu. Według udostępnionego opisu incydentu tym razem metodą ataku był SYN flood połączony z ICMP flood. Atak zaczął się o 21:45 i zakończył ok. 00:41 dnia następnego. Źródło ataku było ponownie rozproszone po całej adresacji IPv4 (dzięki możliwości fałszowania adresów źródłowych), a każdy z głównych serwerów otrzymywał ok. 10 milionów pakietów na sekundę, czyli 17 Gb/s.

Wszystkie te ataki, ze względu na ciągle istniejącą w sieci możliwość przesyłania pakietów ze fałszowanym adresem źródłowym, są bardzo trudne do powstrzymania. Niestety wyeliminowanie takich scenariuszy ataków wymaga współpracy setek jeśli nie tysięcy największych operatorów internetu na całym świeci a inicjatywy do tego zmierzające do tej pory nie zakończyły się powodzeniem.

Kto może stać za atakami

Bruce Schneier twierdzi, że sprawcami prawdopodobnie są Chińczycy. Nie da się ukryć, że ta teoria ma sens. Chiny sa jednym z niewielu krajów na świecie posiadających istotne możliwości ofensywne w obszarze bezpieczeństwa IT, są także jednym z niewielu krajów na świecie, któremu wyłączenie możliwości dostępu do Facebooka, Twittera, witryn banków internetowych czy największych portali nie zaszkodzi. Chińczycy od wielu lat realizują politykę wewnętrznego internetu – większość popularnych zachodnich serwisów ma swoje odpowiedniki w Chinach (a spora część jest dla Chińczyków niedostępna), a chińska sieć oddzielona jest od zepsutego świata zewnętrznego Wielkim Firewallem, pilnującym wszystkich połączeń. Gdyby zatem któregoś dnia serwery DNS przestały działać, Chińczycy płakaliby najmniej. Jeśli zatem brak możliwości odwiedzenia ulubionego serwisu Was lekko przeraża, zapiszcie jeszcze dzisiaj jego adres IP w kajecie.