Video: Tarik ACCIDENTALLY Joins My HvH Server On Stream (September 2024)
CyberBunker fungerar från en avvecklad NATO-bunker; därmed namnet. Företaget påstår sig vara "den enda verkliga oberoende värdleverantören i världen" och tillåter kunder anonymt att vara värd för "allt innehåll de gillar, utom barnporr och allt relaterat till terrorism."
Detta löfte visade sig uppenbarligen attraktivt för en eller flera grupper av spammare, eftersom SpamHaus spårade betydande skräppost till CyberBunker. De svartlistade CyberBunker och avskärade därmed dessa spammare från nästan två miljoner inkorgar. Som vedergällning lanserade CyberBunker det som har kallats den största cyberattacken någonsin.
Förstärkt attack
CyberBunker försökte stänga av SpamHause med en allvarlig DDoS-attack (Distribution Denial of Service). SpamHaus kontaktade webbskyddsföretaget CloudFlare för hjälp. CloudFlare bestämde att angriparna använde en teknik som kallas DNS-reflektion för att generera överväldigande mängder webbtrafik på SpamHaus servrar.
Domännamnsystemet är en viktig del av Internet. DNS-servrar översätter mänskliga läsbara domännamn som www.pcmag.com till IP-adresser som 208.47.254.73. DNS-servrar finns överallt och deras säkerhetsnivå varierar. I DNS-reflektion skickar angriparen många osäkra DNS-upplösare en liten DNS-begäran som genererar ett stort svar, och förfalskar returadressen till offrets.
I ett blogginlägg förra veckan rapporterade CloudFlare att över 30 000 DNS-upplösare var inblandade. Varje 36-byte-begäran genererade cirka 3 000 byte svar, vilket förstärkte attacken med 100 gånger. På sitt topp slagade attacken SpamHaus med upp till 90 Gbps irrelevanta nätverksförfrågningar och överbelastade SpamHaus-servrar.
Indirekta skador
CloudFlare lyckades mildra attacken med en teknik som de kallar AnyCast. I korthet tillkännager alla CloudFlires globala datacentra samma IP-adress, och en lastbalanseringsalgoritm riktar alla inkommande förfrågningar till närmaste datacenter. Detta später effektivt ut attacken och gör det möjligt för CloudFlare att blockera alla attackpaket från att nå offret.
Men det var inte slutet. Enligt New York Times vände angriparna sig direkt på CloudFlare, i hämnd. The Times citerade CloudFlare-verkställande direktör Matthew Prince för att säga: "Dessa saker är i huvudsak som kärnbomber. Det är så lätt att orsaka så mycket skada." Artikeln noterade också att miljontals användare har befunnit sig tillfälligt oförmögna att nå vissa webbplatser på grund av den pågående attacken, och nämner särskilt Netflix som ett exempel.
CloudFlare utarbetade denna utökade skada i ett nytt inlägg idag. Först gick angriparna direkt efter SpamHaus. Därefter fokuserade de sin attack på CloudFlare. När det inte fungerade flyttade de attacken uppströms till "leverantörer från vilka CloudFlare köper bandbredd."
CloudFlears inlägg sade: "Utmaningen med attacker i denna skala är att de riskerar att överväldiga systemen som kopplar samman själva Internet." Och den här eskalerade attacken på leverantörer av högsta bandbredd orsakade faktiskt betydande anslutningsproblem för vissa användare, främst i Europa.
Gömmer sig inte
Enligt Times tog en talesman för CyberBunker kredit för attacken och sa: "Ingen har någonsin deputerat Spamhaus för att avgöra vad som går och inte går på Internet. De arbetade sig i den positionen genom att låtsas att bekämpa spam."
CyberBunker-webbplatsen skryter med andra run-ins med tillsynsmyndigheter och brottsbekämpning. På dess historiksida står "de nederländska myndigheterna och polisen har gjort flera försök att komma in i bunkeren med våld. Inget av dessa försök lyckades."
Det är värt att notera att SpamHaus inte "bestämmer vad som händer på Internet." Som företagets vanliga frågor påpekar, kan e-postleverantörer som prenumererar på SpamHaus svartlistor blockera e-post som kommer från svartlistade adresser; det är allt.
Skydd är möjligt
Lyckligtvis finns det ett sätt att avsluta den här typen av attack. Internet Engineering Task Force har publicerat en analys av Best Current Practice (BCP-38) som beskriver hur leverantörer kan förhindra falsk IP-adress och därmed besegra attacker som DNS-reflektion.
CloudFlare har engagerat sig i "namn och skam" -taktik och publicerat namnen på leverantörerna med det största antalet osäkrade DNS-servrar. Enligt ett CloudFlare-blogginlägg minskade antalet öppna DNS-upplösare med 30 procent. Open Resolver-projektet listar 25 miljoner osäkra upplösare. Tyvärr, som CloudFlears inlägg noterar, "de onda har listan med öppna upplösare och de blir allt mer modiga i attackerna de är villiga att starta."
DNS-systemet är absolut nödvändigt för att Internet ska fungera. det behöver det bästa skyddet vi kan ge det. Fler leverantörer måste stänga säkerhetshålen som tillåter denna typ av attack. Ett av CloudFlears uttalade mål är "att göra DDoS till något du bara läser om i historieböckerna." Vi kan hoppas!
