Internetes apokalipszis most? a szakértők nem

A CyberBunker weboldal-szolgáltató által továbbfejlesztett DDoS támadás a SpamHaus Project spam-ellenes ruházata ellen nagy hír. A New York Times mérlegelni kezdett, akárcsak a BBC. A CloudFlare internetes védelmi ügynökség arról számolt be, hogy a támadás kiterjedt az első szintű sávszélesség-szolgáltatókra, és hogy egy 300 Gbps DDoS támadás sok internetfelhasználó számára lelassította a kapcsolatokat. De várj egy percet. Megtapasztalta a lelassulást? Én sem. Valójában sok szakértő jelentette, hogy még az eddigi legnagyobb DDoS támadás sem befolyásolta észrevehetően az internetet.

Csak egy pillanat?

A Keynote Systems folyamatosan figyeli a 40 "fontos, amerikai székhelyű üzleti webhely" válaszidejét, és a világ számos kulcsfontosságú helyéről kapcsolatba lép. Az átlagos reakcióidő változó, de hajlamos nagyjából ugyanabban a tartományban maradni. És a Keynote Performance Index csak enyhe "elmosódást" mutat a támadás során.

Aaron Rudger kulcsszó-szakértő azt mondta: "A szám nem fekszik - és ez tény." Az elmúlt négy hét teljesítménydiagramjára hivatkozva megjegyezte, hogy "az európai ügynökök meglehetősen következetes és normál teljesítményt mutatnak az egész… a DDoS esemény során. Van azonban egy kis blip, amely megjelenik."

"Látjuk - mondta Rudger -, hogy az európai ügynökök lassabban reagálnak - az átlagnál 40% -kal lassabban - a március 26-án 8.30 és 14.30 (PST) között. Lehetséges, hogy a Spamhaus támadás kapcsolódhatna ehhez a lassuláshoz, de nem lehetünk biztosak benne. " Rudger megjegyezte, hogy az egyidejűleg zajló nagy labdarúgó-mérkőzést közvetítő emberek ezrei tudják magyarázni a lassulást. "Elutasítja azt az állítást, miszerint a támadás napok óta zavart okozott, mondván:" Egyszerűen nem látunk adatainkból."

Csak Hype?

Egy kiterjedt blogbejegyzésben a Gizmodo Sam Biddle egy lépéssel tovább megy, azzal vádolva a CloudFlare-t, hogy a saját érdekeire túlbecsüli a problémát. A CloudFlare, mondta Biddle, "felelős az égbolt alá eső internetes időjárási jelentésekért, és az a párt, amely közvetlen profitot szerez neked, attól tart, hogy attól tart, hogy az Internet, ahogy tudjuk, ostrom alatt áll".

A Biddle cikke független forrásokból származó grafikonokat jelenít meg (hasonlóan a Keynote-hoz), amelyek nem mutatnak növekedést a forgalomban vagy a válaszidő csökkenését. Az Amazon jelentése a Netflix tárhelyéről nulla üzemzavart mutatott a hét folyamán. Az NTT szóvivője, "az Internet egyik gerinchálózat-üzemeltetője" kijelentette, hogy míg a 300 Gbps-os támadás hatalmas, a legtöbb régió kapacitása a Tbps-tartományban van.

Biddle arra a következtetésre jutott, hogy a CloudFlare "megpróbálta megijeszteni az internetes lakosokat, azt gondolva, hogy Drezda lakosai, hogy üzletet állítsanak fel". "Ha a terméket érdemel egy átkozott" - mondta Biddle -, akkor nem kell hazudnia az internetnek, hogy eladja. " Erõs szavak valóban.

A probléma világítása

Adam Wosotowsky, a McAfee Labs üzenetkezelő adatépítésze úgy érzi, hogy a CloudFlare megszabadul. Még akkor is, ha túlméretezték a helyzetet, "nincs benne árt". Rámutat arra, hogy a problémára való figyelem felhívása segíthet "azon kevésbé előkészített oldalakon, amelyek még nem állnak készen az ilyen típusú helyzetekre, pusztán azért, mert egész nap nem fészkelnek a hornet fészkéiben". A szó megfogalmazása azt jelenti, hogy azok a cégek "hasznot húzhatnak, ha tudják, hogy problémájuk nem egyedi, és valójában vannak olyan vállalatok, amelyek a támadások elkerülésére szakosodtak".

Ami a bejelentett lassulást illeti, Wosotowsky megerősítette, hogy a McAfee azt találta, hogy néhány webhely "jelentősen érintett". Megjegyezte, hogy a támadás nagysága miatt befolyásolhatja "az érintőleges szolgáltatásokat, amelyek útjuk egy pontján ugyanazt a sávszélességet használják".

"Az a tény, hogy egy óriási kiborulás nem indokolt, " mondta Wosotowsky, "nem csökkenti az elemzés fontosságát… A rosszindulatú programok szerzőinek és botmestereinek biztonságos menedékeinek kirajzolása szempontjából a történet valóban méltó."

Pénz és hatalom

A Kaspersky Lab globális kutató- és elemző csoportja nem fejezte ki kétségeit a támadás súlyosságával kapcsolatban, megjegyezve, hogy "egy ilyen támadás által generált adatáramlás befolyásolhatja a közbenső hálózati csomópontokat, amikor áthaladja őket, ezáltal akadályozva a normál webszolgáltatások működését, amelyek nincs kapcsolatban a Spamhaus-nal vagy a Cyberbunkerrel. " Megfigyelték továbbá, hogy "az ilyen típusú DDoS támadások növekednek mind mennyiségi, mind méretarányban."

Miért növekszik? A csoport két fő (és néha egymást átfedő) motivációt vont fel. "A számítógépes bűnözők DDoS támadásokat hajtanak végre a vállalatok felzavarása érdekében, hogy pénzt kivessenek tőlük" - mondta a csapat. Azt is feltehetik, hogy "DDoS támadások fegyverként szolgálnak a szervezetek vagy vállalatok megzavarására saját ideológiai, politikai vagy személyes érdekeik érdekében". Akárhogy is, az ilyen hatalmas DDoS támadások nemcsak a támadás célpontjain, hanem a szolgáltatáson is megzavarhatják a szolgáltatást.

Figyelj!

A CyberBunker támadás DNS-reflexiót használt, egy olyan technikát, amely lehetővé teszi számukra egy apró adatcsomag küldését, ami viszont a DNS-kiszolgálót sokkal nagyobb csomag elcsúsztatására célozza meg. Valójában százszorosára felerősíti a támadást. Igen, vannak más módok is a DDoS támadás végrehajtására, de ez a köteg BFG9000. Jó dolog lenne a DNS-reflexiót lehetetlenné tenni.

Az Open DNS Resolver Project több mint 25 millió kiszolgálót sorol fel, amelyek teszteik szerint "jelentős veszélyt jelentenek". IT srácok, figyelj! A vállalat DNS-kiszolgálói szerepelnek a listán? Készítsen egy kis kutatást, és biztosítsa őket támadások ellen, például az IP-cím hamisításával. Mindannyian köszönöm.