Slo-Tech

» »

Eden večjih DDoS-napadov na Spamhaus

Eden večjih DDoS-napadov na Spamhaus

Cloudflare - Te dni daleč od oči javnosti poteka silovit DDoS-napad na švicarsko stran Spamhaus, ki so ga tuji mediji nekritično povzeli kot največji internetni napad v zgodovini. Internet se za zdaj še ne duši pod tem napadom, čeprav ima Spamhaus obilico težav pri zagotavljanju svojih storitev, nekaj kolateralne škode pa so povzročili tudi nič hudega slutečim okoličanom.

Spamhaus je neprofitna organizacija, ki se bori proti spamu na internetu. Vzdržujejo več seznamov blokiranih naslovov (blacklist), od koder redno prihaja spam zaradi pomanjkljive zaščite in ki jih potem številni strežniki uporabljajo kot filter, ter seznamov dovoljenih naslovov (whitelist). S tem početjem so znatno zmanjšali količino spama, ki dnevno roma po internetu, kar je trn v peti številnim, ki s spamom bogato služijo. Spamhaus namreč (posredno) odfiltrira kar 80 odstotkov spama na svetu, s čimer so si nabrali tudi sovražnike.

Pred tednom dni pa so se znašli pod silovitim napadom z interneta, ki bi marsikatero manjšo stran odpihnil. Spamhaus je za pomoč poprosil CloudFare, kjer so pripravili analizo napada. Napad se je začel 18. marca z intenzivnostjo 10 Gbps in se stopnjeval. Dan pozneje je dosegel 90 Gbps, ta teden pa so krenili s 300 Gbps ob konicah. V perspektivi povedano je to toliko, da lahko takšno prepustnost na gostovanju do strežnikov danes zagotovi le peščica ISP-jev. Gre za ogromno količino zahtevkov.

To ne pomeni, da imajo napadalci sami tolikšno pasovno širino. Za napad izkoriščajo tako imenovane odprte DNS-razreševalnike (open DNS resolvers), ki so tiktakajoča bomba na internetu. Gre za strežnike, ki prevajajo zahtevke iz domen v IP-naslove. Problem odprtih strežnikov pa je, da ne preverjajo vira zahtevka, preden nanj odgovorijo. Na internetu obstoji celo Open Resolver Project, kjer želijo najti in izključiti vse odprte razreševalnike. Napadalci zato v zahtevku ponaredijo IP-naslov, kakor da prihaja od žrtve, tako da potem odprti DNS-razreševalniki bombardirajo žrtev z odgovori, ki so običajno še daljši od zahtevkov (DNSSEC je to v bistvu še malo poslabšal). Zaradi samega ustroja interneta pa je mogoče z enim zahtevkom povzročiti, da žrtvi odgovori več razreševalnikov, saj je vsak zadolžen le za določena podomrežja, za ostale pa sprašuje nadrejene strežnike. Tako so napadalci uporabili več kot 30.000 različnih DNS-razreševalnikov, ki so vsi odgovarjali Spamhausu. Če vsak pošilja nekaj megabitov na sekundo, to ne posamič ne zbuja pozornosti, skupaj pa več kot zadostuje za ogromen napad.

Kdo stoji za napadi, ni znano. Špekulira se, da je Spamhaus stopil na žulj nizozemskem Cyberbunkerju, ki je znan po tem, da bo na internetu gostil vse, razen otroške pornografije in terorizma. Cyberbunker je srdit nasprotnik Spamhausa, ki po njihovem mnenju neupravičeno izsiljuje internet, a napad zanikajo. Kakorkoli, spam se torej kvalificira pod vse in očitno naj bi se nekdo zelo razjezil, ko mu je Spamhaus blokiral domeno. Zanimivo pa je, da internet kljub tolikšnemu napadu še vedno deluje, pri nas celo brez težav. Spamhaus je ob napadu pomoč poiskal pri CloudFaru, ki je sposoben promet razdeliti na širše področje in zagotoviti dodatno pasovno širino. Napadalci so se potem lotili CloudFara, pa jim ni uspelo, zato so poizkusili še s ISP-ji, od katerih CloudFare kupuje povezljivost.

To je tudi posledica, da je imel napad za posledico nekaj nevšečnosti še na drugih straneh. A škoda ni velika, prav nasprotno. Internet je preživel brez praske, čeprav se Spamhaus še vedno duši pod napadom - 300 Gbps je dovolj, da zruši skoraj vsako stran, a po drugi strani premalo, da bi zamajalo temelje internet, saj največja vozlišča v povprečju dnevno pretočijo desetkrat več podatkov.

13 komentarjev

enadvatri ::

..., a napad zanikajo.


Kolikor je meni znano iz vseh virov, napada ne komentirajo. Torej tudi ne zanikajo.

ales85 ::

Spamhaus pač vodi seznam. Cyberbunker naj se jezi na tiste, ki seznam uporabljajo za filtriranje :)

SplitCookie ::

To je samo demonstracija moči, magari za novega kupca + zastonj oglas. Noone really gives a fuck about hitting a webpage..
SplitCookie> Prevoziš RDEČO ! jype> Ja? A to je kaj posebnega?
Ramon dekers> Ječa je lahko naravno okolje potem ko se adaptiraš.
jype> CPP ne spoštujem _NIKOLI_

jlpktnst ::

Še vedno pa ne vemo nič pametnega. Torej ali je napad res samo nabiranje točk za denar ali pa ima mogoče res celo še druge razloge? Spamhaus ima res kar oreng avtoriteto, lahko da jo zlorabljajo... samo dobit koristne informacije je pa druga reč.

Zgodovina sprememb…

  • spremenil: jlpktnst ()

enadvatri ::

ales85 je izjavil:

Spamhaus pač vodi seznam. Cyberbunker naj se jezi na tiste, ki seznam uporabljajo za filtriranje :)


Tudi neformalni vpliv je lahko dejansko center moči.

Sicer je pa verjeten tudi scenarij, da je to med drugim akcija spemerjev, ne samo njim prijaznih ponudnikov. Ali celo vzajemno dejanje več povezanih sovražnikov.

Jst ::

Netflix naj bi imel rahle težave en dan. Nisem pa razumel, ko sem poslušal podcast, če je to direktno povezano s tem napadom...
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Sixty9 ::

Dejansko se je tole poznalo na naši službeni pošti. Iz pičlih 5-10 spam mailov na dan, ki niso bili fitrirani, je skočilo na 30+...

Nekaj so dosegli... banda...
"I Am The ALPHA And The OMEGA!"

Furbo ::

Jaz sem tudi na siol mail dobival kup spama zadnja 2 dni, ampak to je vendarle siol.
Lp,f

enadvatri ::

Sixty9 je izjavil:

Dejansko se je tole poznalo na naši službeni pošti. Iz pičlih 5-10 spam mailov na dan, ki niso bili fitrirani, je skočilo na 30+...

Nekaj so dosegli... banda...


Ni nujno, ne bi rekel, da so umaknili s seznama ... Prej so za dovolj dober denar dobili ti zlobni možici novega ponudnika oz. novo območje številkic ... :))

Sixty9 ::

enadvatri je izjavil:

Sixty9 je izjavil:

Dejansko se je tole poznalo na naši službeni pošti. Iz pičlih 5-10 spam mailov na dan, ki niso bili fitrirani, je skočilo na 30+...

Nekaj so dosegli... banda...


Ni nujno, ne bi rekel, da so umaknili s seznama ... Prej so za dovolj dober denar dobili ti zlobni možici novega ponudnika oz. novo območje številkic ... :))


No, bolj sem mislu v smislu, da naš mail server ni do seznama prišel... in pol ni filtriral pravilno... lohka je pa res tako, da se je pač število povečalo; bomo vidli čez teden v službi kako kaj spam... ;)
"I Am The ALPHA And The OMEGA!"

korenje3 ::

SplitCookie je izjavil:

To je samo demonstracija moči, magari za novega kupca + zastonj oglas. Noone really gives a fuck about hitting a webpage..


tistih 80% podjetij ki uporablja to storitev "gives a fuck".
Pentium I7 3770k@4,5Ghz; 16GB RAM@2133MHz; ASUS Radeon 6850 1GB;
SSD Kingston hyperX 240GB; 30" HPZR30w monitor;
BeQuiet! E9 580W; http://www.the-nox.com

BaToCarx ::

Delo spamhausa je bilo neprekinjeno, tako da ne nakladat da ste dobili več spama.
Edino ker je bla www bolj na hojladri, je bla jeba če si hotel dat zahtavek da te odstranijo iz blacklista.

Cloudflare pa napihuje kot vedno, samo da bi si ego nabijali.

p.s. Ne uporabljam in nisem dobil nobenega spama. Obe storitvi sta nepotrebni, špijunski po naravi.

Zgodovina sprememb…

  • spremenil: BaToCarx ()

Sixty9 ::

Lahko, da res njihovo delo ni bilo oteženo oziroma onemogočeno, saj še vedno prejemamo večje količine spam-a :) Očitno je naš mail padel še na druge liste... BANDA ;)

Očitno bo potrebno spam filter pregledat in popravit...

Dejansko pa sem napisal, da bom v prihodnjih dneh videl, če se bo zadeva popravila - in se ni.

LP,
Simon.

Ups... očitno tega nisem tu napisal...

LP,
Simon.
"I Am The ALPHA And The OMEGA!"

Zgodovina sprememb…

  • spremenil: Sixty9 ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Eden večjih DDoS-napadov na Spamhaus

Oddelek: Novice / Omrežja / internet
136197 (3176) Sixty9
»

Obsežen internetni napad na Južno Korejo

Oddelek: Novice / Varnost
84123 (2572) mtosev
»

DNS amplification DDoS napad

Oddelek: Novice / Varnost
264826 (3554) jype
»

Ddos

Oddelek: Omrežja in internet
251902 (1340) qlman
»

DDoS napad na BitTorrent strežnike

Oddelek: Novice / Varnost
103472 (3472) Tilen

Več podobnih tem