Największy zaobserwowany atak DDoS w historii internetu

dodał 27 marca 2013 o 17:04 w kategorii DDoS  z tagami:
Największy zaobserwowany atak DDoS w historii internetu

Początkowa skala ataku

Jak bardzo trzeba się komuś narazić, by stać się ofiarą ataku DDoS o niespotykanej do tej pory skali? Odpowiedź na to pytanie zna Spamhaus, kontrowersyjna organizacja zwalczająca spam, której serwery atakowane są z przepustowością 300Gbps.

Spamhaus nie został ofiarą ataku po raz pierwszy. Organizacja ta od 15 lat walczy z internetowym spamem. Najbardziej znana jest z prowadzenia list znanych adresów spamerów, tzw. DNSBL, czyli mechanizmu umożliwiającego każdemu zainteresowanemu odbiorcy weryfikację listy adresów IP pod kątem tego, czy były używane do rozsyłania spamu. Jej działalność stanowi cenne źródło informacji dla wielu operatorów serwerów poczty (pomaga im łatwo wyeliminować znaczną część spamu), ale także jest zmorą operatorów serwerów, które trafiły na ich listę. Istnieje nawet dedykowane forum, poświęcone walce ze Spamhausem.

Kontrowersyjna polityka Spamhausu

Ze względu na fakt, że Spamhaus jest najpopularniejszym  źródłem informacji o spamerach, trafienie na jego czarną listę oznacza poważne problemy z doręczeniem wiadomości na całym świecie. Nie będąc formalnie organizacją powołaną do kontrolowania całej sieci, Spamhaus w rzeczywistości w dużej mierze decyduje, czyje emaile trafiają do adresatów, a czyje nie. Największe kontrowersje wiążą się jednak z procesem eskalacji stosowanym przez Spamhaus. Znany jest przypadek austriackiego rejestru domen nic.at, który został poproszony przez Spamhaus o zawieszenie domen używanych w atakach phishingowych. Nic.at odmówił wykonania takiej prośby jako sprzecznej z austriackimi przepisami. W odpowiedzi jego serwer poczty został wciągnięty na listę blokowanych adresów (jako „wspierający działanie przestępców”). Spamhaus znany jest także z wciągania na swoje czarne listy adresów IP dostawców łącz tranzytowych, którzy odmawiają zaprzestania świadczenia usług firmom, które Spamhaus kwalifikuje jako naruszające jego polityki. Jeden z takich przypadków zapewne leży u podstaw najnowszych ataków.

Pierwsza fala ataków

Fala ataków na serwer www firmy zaczęła się około 15go marca.  18go marca przybrała taką siłę, że strona firmy przestała być dostępna. Spowodowało to między innymi brak możliwości zgłoszenia „apelacji” od wpisania na czarną listę przez właścicieli adresów, którzy uważali, że znaleźli się tam niesłusznie. Sam system dystrybucji czarnej listy, oparty o serwery DNS, ciągle działał. Spamhaus, nie mogąc poradzić sobie z atakiem, zwrócił się o pomoc do firmy Cloudflare, która nie raz już ratowała z opresji różne serwisy.

Cloudflare na ratunek

Po przejściu pod skrzydła Cloudflare’a strona Spamhausu wróciła do sieci. Sam Cloudflare opisał na swoim blogu, jak poradził sobie z atakami przekraczającymi 75Gbs. Większa część ruchu, kierowana do serwera Spamhausu, pochodziła z ataku znanego jako DNS Reflection. W największym uproszczeniu atakujący wysyła pakiet o rozmiarze kilkudziesięciu bajtów do nieprawidłowo skonfigurowanego serwera DNS, fałszując adres nadawcy. Serwer DNS odpowiada pakietem o rozmiarze kilku kilobajtów, przesyłając go na fałszywy adres – czyli do celu ataku. Dzięki temu atakujący uzyskuje stukrotne wzmocnienie swojego ataku, jednocześnie ukrywając swoją tożsamość. Wykorzystując setki tysięcy nieprawidłowo skonfigurowanych serwerów DNS na całym świecie (w sumie jest ich 25 milionów), atakujący mogą generować ogromne ilości ruchu, jednocześnie nie obciążając znacząco swoich łączy.

W trakcie ataku na adresy IP, przydzielone przez Cloudflare Spamhausowi, odnotowano wykorzystanie 30 tysięcy serwerów DNS, które wysłały łącznie ponad 75Gb ruchu na sekundę. Cloudflare radzi sobie z tym problemem, stosując mechanizm „anycast”. Posiadając 23 centra danych na całym świecie, odbiera generowany ruch, dzieląc go na 23 punkty odbioru. Dzięki temu atak „wiele do jednego” zmienia na „wiele do wielu”, przez co staje się łatwiejszy do opanowania.

Początkowa skala ataku (źródło: Cloudflare)

Początkowa skala ataku (źródło: Cloudflare)

Grubsza rura w akcji

Atakujący, widząc, że ich wysiłki nie skutkują (jak do tej pory nie jest znany przypadek udanego ataku DDoS, który wyłączył infrastrukturę Cloudflare’a (nie licząc incydentu sprzed kilku tygodni, gdy na skutek błędu konfiguracji w trakcie odpierania jednego z ataków Cloudflare padł na kilkadziesiąt minut)) zmienili strategię ataku. Obecnie ich celem są węzły wymiany ruchu na całym świecie, z których korzystają centra danych Cloudflare’a. Serwery w Sydney, Tokio, Frankfurcie czy Singapurze potrafią otrzymywać nawet 300 Gb ruchu na sekundę (zawartość ponad 50 płyt CD w ciągu 1 sekundy). Co prawda infrastruktura Cloudflare’a radzi sobie z obsługą takiego ruchu, lecz jak donosi The New York Times użytkownicy sieci zaczynają odczuwać większe niż zazwyczaj problemy z łącznością. Transmisja wideo traci płynność, a niektóre serwisy www stają się czasami niedostępne.

Kto za tym stoi

The New York Times informuje także, że za atakiem na Spamhaus stoi firma Cyberbunker, holenderski dostawca usług hostingowych o wyjątkowo liberalnej polityce (zakazuje tylko przechowywania pornografii dziecięcej oraz treści związanych z terroryzmem). Firma ta posiada jedną z najlepiej zabezpieczonych serwerowni na świecie – znajduje się ona w byłym bunkrze przeciwatomowym NATO, posiadającym ściany grubości 5 metrów, ogromne zbiorniki paliwa i wody pitnej oraz zapasy umożliwiające funkcjonowanie przez 10 lat w całkowitym odcięciu od świata zewnętrznego.

Firma znajduje się w prawdziwym bunkrze

Firma znajduje się w prawdziwym bunkrze

Cyberbunker miał już wcześniej poważny zatarg ze Spamhausem (choć na ich liście znajdują się już od bardzo dawna), którego skutkiem było umieszczenie przez Spamhaus na czarnej liście części adresacji IP jednego z dostawców łącz Cyberbunkera, który odmówił odcięcia klienta od sieci. Wtedy dostawca zrezygnował w końcu z obsługi tego klienta (pozywając przy okazji Spamhaus za atak na jego sieć). Ciekawe, czym skończy się obecny zatarg.

Aktualizacja 19:00: Cloudflare przed chwilą opublikował nowe dane dotyczące najnowszych ataków.

Aktualizacja 2, 2013-03-28: Inni dostawcy Tier1 oraz firmy monitorujące ruch w sieci twierdzą, że żadnych efektów ataków nie widać.