Eden večjih DDoS-napadov na Spamhaus
Matej Huš
29. mar 2013 ob 10:19:44
Te dni daleč od oči javnosti poteka silovit DDoS-napad na švicarsko stran Spamhaus, ki so ga tuji mediji nekritično povzeli kot največji internetni napad v zgodovini. Internet se za zdaj še ne duši pod tem napadom, čeprav ima Spamhaus obilico težav pri zagotavljanju svojih storitev, nekaj kolateralne škode pa so povzročili tudi nič hudega slutečim okoličanom.
Spamhaus je neprofitna organizacija, ki se bori proti spamu na internetu. Vzdržujejo več seznamov blokiranih naslovov (blacklist), od koder redno prihaja spam zaradi pomanjkljive zaščite in ki jih potem številni strežniki uporabljajo kot filter, ter seznamov dovoljenih naslovov (whitelist). S tem početjem so znatno zmanjšali količino spama, ki dnevno roma po internetu, kar je trn v peti številnim, ki s spamom bogato služijo. Spamhaus namreč (posredno) odfiltrira kar 80 odstotkov spama na svetu, s čimer so si nabrali tudi sovražnike.
Pred tednom dni pa so se znašli pod silovitim napadom z interneta, ki bi marsikatero manjšo stran odpihnil. Spamhaus je za pomoč poprosil CloudFare, kjer so pripravili analizo napada. Napad se je začel 18. marca z intenzivnostjo 10 Gbps in se stopnjeval. Dan pozneje je dosegel 90 Gbps, ta teden pa so krenili s 300 Gbps ob konicah. V perspektivi povedano je to toliko, da lahko takšno prepustnost na gostovanju do strežnikov danes zagotovi le peščica ISP-jev. Gre za ogromno količino zahtevkov.
To ne pomeni, da imajo napadalci sami tolikšno pasovno širino. Za napad izkoriščajo tako imenovane odprte DNS-razreševalnike (open DNS resolvers), ki so tiktakajoča bomba na internetu. Gre za strežnike, ki prevajajo zahtevke iz domen v IP-naslove. Problem odprtih strežnikov pa je, da ne preverjajo vira zahtevka, preden nanj odgovorijo. Na internetu obstoji celo Open Resolver Project, kjer želijo najti in izključiti vse odprte razreševalnike. Napadalci zato v zahtevku ponaredijo IP-naslov, kakor da prihaja od žrtve, tako da potem odprti DNS-razreševalniki bombardirajo žrtev z odgovori, ki so običajno še daljši od zahtevkov (DNSSEC je to v bistvu še malo poslabšal). Zaradi samega ustroja interneta pa je mogoče z enim zahtevkom povzročiti, da žrtvi odgovori več razreševalnikov, saj je vsak zadolžen le za določena podomrežja, za ostale pa sprašuje nadrejene strežnike. Tako so napadalci uporabili več kot 30.000 različnih DNS-razreševalnikov, ki so vsi odgovarjali Spamhausu. Če vsak pošilja nekaj megabitov na sekundo, to ne posamič ne zbuja pozornosti, skupaj pa več kot zadostuje za ogromen napad.
Kdo stoji za napadi, ni znano. Špekulira se, da je Spamhaus stopil na žulj nizozemskem Cyberbunkerju, ki je znan po tem, da bo na internetu gostil vse, razen otroške pornografije in terorizma. Cyberbunker je srdit nasprotnik Spamhausa, ki po njihovem mnenju neupravičeno izsiljuje internet, a napad zanikajo. Kakorkoli, spam se torej kvalificira pod vse in očitno naj bi se nekdo zelo razjezil, ko mu je Spamhaus blokiral domeno. Zanimivo pa je, da internet kljub tolikšnemu napadu še vedno deluje, pri nas celo brez težav. Spamhaus je ob napadu pomoč poiskal pri CloudFaru, ki je sposoben promet razdeliti na širše področje in zagotoviti dodatno pasovno širino. Napadalci so se potem lotili CloudFara, pa jim ni uspelo, zato so poizkusili še s ISP-ji, od katerih CloudFare kupuje povezljivost.
To je tudi posledica, da je imel napad za posledico nekaj nevšečnosti še na drugih straneh. A škoda ni velika, prav nasprotno. Internet je preživel brez praske, čeprav se Spamhaus še vedno duši pod napadom - 300 Gbps je dovolj, da zruši skoraj vsako stran, a po drugi strani premalo, da bi zamajalo temelje internet, saj največja vozlišča v povprečju dnevno pretočijo desetkrat več podatkov.