Internet-apokalyp nu? experter säger nej

Den förstärkta DDoS-attacken från webbhotellleverantören CyberBunker mot antispamutrustningen SpamHaus Project är stora nyheter. New York Times vägde in, liksom BBC. Internetskyddsbyrån CloudFlare rapporterade att attacken eskalerade upp till leverantörer av bandbredd på Tier 1 och att en DDoS-attack på 300 Gbps bromsade anslutningarna för många Internetanvändare. Men vänta en stund. Upplevde du en avmattning? Inte heller gjorde I. Faktum är att en hel del experter rapporterar nu att även den största DDoS-attacken någonsin inte påverkade nämnvärt Internet påtagligt.

Bara en blip?

Keynote Systems övervakar ständigt responstiden på 40 "viktiga USA-baserade affärswebbplatser", som ansluter till dem från ett antal viktiga platser runt om i världen. Den genomsnittliga responstiden varierar, men tenderar att hålla sig ungefär i samma intervall. Och Keynote Performance Index visar bara en mild "blip" under attacken.

Keynote-expert Aaron Rudger sa: "Siffrorna ljuger inte - och det är ett faktum." Han hänvisade till en prestationsgraf under de senaste fyra veckorna och konstaterade att "de europeiska agenterna rapporterar ganska konsekventa och normala prestanda under hela… DDoS-händelsen. Det finns dock en liten blipp som dyker upp."

"Vi ser, " sade Rudger, "att de europeiska agenterna upplevde långsammare responstider - upp till 40% långsammare än i genomsnitt - mellan 08:30 och 14:30 (PST) den 26 mars. Det är möjligt att Spamhaus attacken kan vara relaterad till denna avmattning men vi kan inte vara säker. " Rudger noterade att tusentals människor som strömmade den stora fotbollsmatchen som inträffade på samma gång kunde redogöra för avmattningen. "Han avvisar påståendet att attacken orsakade dagar av störningar och sa:" Vi ser helt enkelt inte från våra uppgifter."

Bara Hype?

I ett omfattande blogginlägg går Gizmodos Sam Biddle ett steg längre och anklagar CloudFlare för att överdriva problemet till egen fördel. CloudFlare, säger Biddle, är "ansvarig för den himmelfallande internetväderrapporten, det parti som kommer att tjäna direkt av att du är orolig för att Internet som vi känner till är under belägring."

Biddles artikel visar grafer från oberoende källor (liknande Keynote) som inte visar några spikar i trafik eller fall under responstid. En rapport från Amazon om Netflix's hosting visade nollavbrott under veckan. En talesman för NTT, "en av Internet-operatörernas ryggradsoperatör, " konstaterade att även om en attack av 300 Gbps är massiv, har de flesta regioner kapacitet i Tbps-området, och avslutade "Jag håller med dig ifrågasätter om det skakade det globala internet."

Biddle drar slutsatsen att CloudFlare "försökte skrämma internetets invånare och trodde att de är invånarna i Dresden för att trumma upp företag." "Om din produkt är värd, " sa Biddle, "du borde inte behöva ljuga på internet för att sälja den." Starka ord verkligen.

Kasta ljus på problemet

Adam Wosotowsky, Messaging Data Architect på McAfee Labs, känns som att skära CloudFlare lite slak. Även om de överhypade situationen "finns det ingen skada i det." Han påpekar att uppmärksamhet på problemet kan hjälpa "mindre beredda platser där ute som inte är redo för den här typen av situation helt enkelt för att de inte kikar på hornets bon hela dagen." Att få ordet ut betyder att dessa företag "kan ha nytta av att veta att deras problem inte är unikt och att det faktiskt finns företag som är specialiserade på att hjälpa dem att avvärja attackerna."

När det gäller den rapporterade avmattningen bekräftade Wosotowsky att McAfee fann att vissa webbplatser "påverkades avsevärt." Han noterade att på grund av attackens storlek kan det mycket väl påverka "tangentiella tjänster som befinner sig någon gång på deras väg med samma bandbredd."

"Det faktum att en kolossal freak-out inte är berättigad, " sade Wosotowsky, "minskar inte vikten av analysen… Från perspektivet att utrota säkerhetsparadis för skadliga författare och botmasters är historien verkligen värdig."

Pengar och makt

Kaspersky Labs globala forsknings- och analysteam uttryckte inga tvivel om hur allvarlig attacken var och noterade att "dataflödet som genereras av en sådan attack kan påverka mellanliggande nätverksnoder när det passerar dem, och därmed hindrar drift av normala webbtjänster som har ingen relation till Spamhaus eller Cyberbunker. " De fortsatte att observera att "DDoS-attacker av denna typ växer både vad gäller kvantitet och skala."

Varför denna ökning? Teamet noterade två stora (och ibland överlappande) motiv. "Cybercriminals gör DDoS-attacker för att störa företag i ett försök att utpressa pengar från dem, " sade teamet. De kan också "DDoS-attacker som ett vapen för att störa organisationer eller företag i strävan efter sina egna ideologiska, politiska eller personliga intressen." Hur som helst kan massiva DDoS-attacker som detta störa tjänsten för mer än bara attackens mål.

Var uppmärksam!

CyberBunker-attacken använde DNS-reflektion, en teknik som låter dem skicka ett litet datapaket som i sin tur får en DNS-server att spionera ett mycket större paket vid målet. I själva verket förstärker det attacken hundratals. Ja, det finns andra sätt att implementera en DDoS-attack, men det här är BFG9000 för gruppen. Att göra DNS-reflektion omöjlig skulle vara bra .

Open DNS Resolver Project visar över 25 miljoner servrar som deras test visar "utgör ett betydande hot." IT killar, var uppmärksam! Är ditt företags DNS-servrar på den listan? Gör lite forskning och säkra dem mot attacker som IP-adressförfalskning. Vi tackar alla.