07.12.2015 | 09:03

Adam Haertle

Silne ataki na kluczowe elementy infrastruktury internetu

Tydzień temu miało miejsce dość istotne wydarzenie związane z bezpieczeństwem internetu, które jednak nie trafiło na pierwsze strony mediów. Ktoś przypuścił zmasowany atak na główne serwery infrastruktury DNS.

Za rozwiązywanie (tłumaczenie) nazw domenowych na adresy IP odpowiada ogromna ilość serwerów DNS na całym świecie, ale w dane zasila je 13 głównych serwerów, wyposażonych w setki kopii, rozmieszczonych w różnych krajach i na różnych kontynentach. Serwery te stanowią od czasu do czasu cel prób ataków DDoS, jednak skala tego, co zdarzyło się 30 listopada i 1 grudnia przerosła wszystko, co widziały do tej pory.

Prawie skuteczny atak

Strona RIPE oferuje usługę DNSMON w której można sprawdzić aktualny stan głównych serwerów DNS, a konkretnie procent zapytań na które nie mogły udzielić odpowiedzi. 30 listopada 9 z 13 serwerów miało przez kilka godzin poważne problemy.

Problemy serwerów DNS

Problemy serwerów DNS

Serwery B, C, G i H momentami traciły w ogóle możliwość udzielania odpowiedzi a E, F, I, J oraz K odpowiadały na co drugie zapytanie. Atak musiał być bardzo silny, ponieważ serwery F, I oraz K dysponują dość rozbudowaną infrastrukturą opartą o architekturę anycast (F: 59 lokalizacji, I: 49, K: 33), której działanie naprawdę nie jest proste do zakłócenia. Ataki zostały powtórzone kolejnego dnia, jednak ich siła była już trochę mniejsza.

Atak choć niepokojący, nie miał żadnego wpływu na bieżące funkcjonowanie sieci. Raz, że nie udało się w pełni zakłócić pracy atakowanych serwerów, dwa że nie wszystkie serwery były celem ataku i pozostałe maszyny pełniły swoją rolę. Poza tym architektura DNS sprawia, że dopiero wielogodzinna przerwa w funkcjonowaniu głównych serwerów może być odczuwalna (wyniki zapytań są przechowywane lokalnie przez mniejsze serwery DNS i serwery główne są ponownie odpytywane dopiero po pewnym czasie). Dlaczego zatem wspominamy o tym ataku?

Imponująca skala

Nie znamy wyników pomiarów ruchu sieciowego którym zostały zaatakowane serwery DNS, ale z dwóch niezależnych źródeł otrzymaliśmy informację wskazującą, że jego skala była co najmniej niepokojąca. Rozproszona architektura systemu DNS została zaprojektowana z myślą o absolutnej niezawodności i tym razem zdała egzamin, ale atakujący pokazali, że konieczna może być jej dalsza rozbudowa. By wyobrazić sobie skalę ataku trzeba spojrzeć na mapę lokalizacji serwerów (jest także dostępna w formie interaktywnej).

Lokalizacje serwerów DNS

Lokalizacje serwerów DNS

Ponad 500 miejsc rozsianych po całym świecie, zlokalizowanych w serwerowniach dużych operatorów telekomunikacyjnych – a mimo tego część z nich przestała odpowiadać na zapytania. Nie wiemy, czy był to po prostu kaprys nastolatka – władcy botnetu, demonstracja produktu dla klienta czy konkurs wśród botmasterów pt. „Wylosuj literkę i wyłącz serwer” ale sytuacja ta pokazuje, że nawet najlepszym nie jest łatwo w dzisiejszych czasach obronić się przed atakiem DDoS.

Powrót

Komentarze

  • 2015.12.07 09:55 moraw18

    nie mogę się doczekać aż „mainstreamowe media” podłapią temat :D

    Odpowiedz
    • 2015.12.07 21:34 X

      Będzie coś typu „atak na internet” „Próba wyłączenia internetu” „Ponad 60% internetu mogło nie działać”

      Mogą tu ładnie popłynąć :)

      Odpowiedz
      • 2015.12.12 21:24 XX

        Komputer Świat > Nowości > Bezpieczeństwo > Tajemnicza grupa hakerów próbowała… „wyłączyć” internet na całym świecie.

        Pozdrawiam

        Odpowiedz
  • 2015.12.07 10:22 Zdzich

    Możliwe że dla autora tego artykułu jest oczywiste iż dotyczy on tzw. Root Servers, ale dla wielu czytelników zapewne nie, a ponieważ rzeczona nazwa nie pada nigdzie w artykule stąd tenże komentarz, oraz link do stosownego artykułu dla chętnych:
    https://en.wikipedia.org/wiki/Root_name_server

    Odpowiedz
    • 2015.12.07 16:04 Borys

      Myślę że jak ktoś trafia na 'zaufanatrzeciastrona.pl’ to albo wie o co chodzi albo sobie doczyta.

      Odpowiedz
      • 2015.12.07 17:01 Professor

        Nie, no oczywiście, że wie. Przecież tutaj są tylko najmądrzejsi i wszystkowiedzący.

        Odpowiedz
      • 2015.12.08 10:49 Ben

        Niekoniecznie, często udostępniam artykuły na moim fb więc wśród czytelników może być ktoś nieogarnięty ;)

        Odpowiedz
        • 2015.12.08 17:31 Borys

          Facebook, hmmm no tak, tam większość jest nie ogarniętych :)

          Odpowiedz
  • 2015.12.07 15:12 troll

    Podajcie źródła, na jakich się opieracie. Na razie bardziej wygląda to na awarię tej usługi monitorującej lub infrastruktury RIPE.

    Odpowiedz
    • 2015.12.07 15:25 troll

      Dobra, znalazłem potwierdzenie rozmiarów ataku w publikowanych statystykach ruchu, np. tam:
      http://k.root-servers.org/statistics/ROOT/weekly/

      Odpowiedz
      • 2015.12.08 15:51 PawełM

        Skuteczne filtrowanie DDoS-a wymaga rozproszonej infrastruktury rozlokowanej możliwie blisko źródeł ataku, aby absorbować je nim zwiedzą Internet.

        Akurat te 600k queries/s to nie jest jakaś wielka wartość, ze średniego ruchu widać, że się na nią nie wyskalowali po prostu.

        Odpowiedz
  • 2015.12.07 17:10 Adrian

    Zastanawiam się jakie jeszcze elementy infrastruktury internetu można zaatakować.
    Są jakieś główne routery na które można puścić DDoS?

    Odpowiedz
    • 2015.12.08 11:33 Paweł

      Z pewnością, hahaha :D

      Odpowiedz
  • 2015.12.07 22:25 Rozbawiony

    Czulem to. Nie pierwszy raz zreszta. Dzis w sieci jest formalna wojna – w sensie doslownym. Preludium tej prawdziwej.

    Odpowiedz
    • 2015.12.08 11:41 syf

      Dlaczego redakcja puszcza takie debilizmy?

      Odpowiedz
      • 2015.12.08 15:17 Rozbawiony

        Debilizmy? Przezabawne. Rozumiem, ze Ty wiesz wszystko najlepiej z pewnego, 100% wiarygodnego zrodla, czyli TV. Tylko sie nie zdziw jak za kilka lat dostaniesz karte powolania do wojska na pierwsza linie.

        BTW: piszac wprost, skretynienie spoleczenstwa jest dokladnie takie samo jak na poczatku lat 30’tych. Toczka w toczke. Wtedy tez myslano tylko o dobrej zabawie, kompletnie nie rozumiejac, ze za 10 lat ludzie z ludzi beda robic mydlo.

        Odpowiedz
        • 2015.12.08 20:41 dine

          To, że będzie wojna (o ile książki historyczne 2014/2015 nie będą podawać jako daty jej rozpoczęcia) można wywnioskować już po tym co w tv pokazują lub po tym co się w ogóle na świecie dzieje. Natomiast o co chodziło syf-owi, a no o formę w jakiej napisałeś pierwszy komentarz nadając mu rangę informacji top secret. Tak jak byś właśnie jaśnie oświecony powiedział coś co wiedzą tylko nieliczni… taki bohater romantyczny czekający tylko na takie komentarze jak syf-a, by wykazać się i oświecić tych „mniej rozumnych” niż ty. Przychylam się do komentarza syfa. Nie mam również zamiaru zaprzątać sobie wojną głowy, bo nie będę w niej uczestniczył. Proste.

          Odpowiedz
          • 2015.12.09 23:42 Rozbawiony

            „no o formę w jakiej napisałeś pierwszy komentarz nadając mu rangę informacji top secret.” – Ty tak serio czy dla jaj? Chcesz mi powiedziec, ze wiesz lepiej ode mnie co i jak mysle, a co wiecej, ze maja mnie te Twoje wizje interesowac??? Przepraszam, ale wlasnie jestem po prostu rozbawiony.

            Jacy to ludzie sa glupi.

Zostaw odpowiedź do Adrian

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Silne ataki na kluczowe elementy infrastruktury internetu

Komentarze