Un atac cibernetic ce a vizat initial o singura companie este acum descris de experti ca fiind unul dintre cele mai mari atacuri de tip Distributed Denial of Service (DDoS) din istoria Internetului. Atacul, care a avut impact si asupra elementelor de infrastructura fizica ale Internetului global, a afectat negativ si viteza Internetului din Europa. Totusi, cu ce este acest atac diferit fata de toate celelalte?
In primul rand, trebuie sa stim de unde a pornit totul. Cum am spus si mai devreme, atacul a vizat initial o companie europeana anti-spam, numita Spamhaus, care a blacklistat serverele unei companii de hosting controversate,Cyberbunker, pe care le considera ca fiind surse de e-mailuri spam, pentru a vinde apoi aceste blacklisturi furnizorilor de servicii de Internet. Atacul a inceput saptamana trecuta in valuri de atacuri DDoS masive, la scurt timp dupa ce Spamhaus a blacklistat serverele Cyberbunker. Desi este principalul suspect, Cyberbunker nu si-a asumat in mod direct responsabilitatea pentru atacurile impotriva Spamhaus.
Intr-un atac DDoS obisnuit, hackerii folosesc mii de computere pentru a trimite trafic fals catre un anume server, pentru a-l suprasolicita. Calculatoarele implicate in atacuri DDoS au fost anterior infectate cu malware, pentru a oferit control total hackerilor, fara ca proprietarul sa stie ceva. Hackerii folosesc malware (adesea trimis prin e-mailuri spam) pentru a crea retele mari de calculatoare infectate, numite “botnet-uri”, pe care le folosesc pentru a lansa atacuri DDoS.
Spamhaus a cerut ajutorul companiei de sescuritate CloudFlare pentru a-i ajuta la atenuarea atacurilor, imediat dupa ce acestea au inceput. CloudFlare a atenuat atacurile prin raspandirea lor in mai multe datacentere, o tehnica care poate mentine un site online, chiar si daca acesta este lovit de nivelul maxim de trafic pe care un atac DDoS standard il poate genera.
Dupa ce hackerii si-au dat seama ca nu pot dobori site-ul Spamhaus cat timp acesta este protejat de CloudFlare, acestia au ales o alta tactica, si anume vizarea propriilor furnizori de retea ai CloudFlare, prin exploatarea unei vulnerabilitati din Domain Name System (DNS), o piesa-cheie a infrastructurii Internetului global.
In esenta, DNS transforma ceea ce oamenii introduc in bara de adrese a unui browser (“www.megahost.ro“) in adresa IP a site-ului dorit, servind continutul web in browserul utilizatorului. Un element esential al sistemului DNS sunt resolverele DNS, dintre care 21,7 milioane sunt deschise si pot fi gasite si manipulate de catre hackeri.
Deoarece resolverele DNS au conexiuni cu latime de banda foarte mare, care poate fi directata catre o singura tinta, hackerii le pot manipula pentru a amplifica atacurile DDoS standard, de la un maxim de aproximativ 100 GB/secunda la 300 GB/secunda. Astfel, viteza Internetului global poate fi afectata de astfel de atacuri DDoS amplificate prin DNS, deoarece Internetul se bazeaza pe DNS pentru a functiona in limitele normale.
Ce se poate face pentru a preveni astfel de atacuri DDoS amplificate prin DNS? In primul rand, furnizorii de servicii de Internet ar trebui sa puna in aplicare tehnologii care sa impiedice hackerii sa faca spoofing de adrese IP. In al doilea rand, administratorii de retea trebuie sa inchida toate resolverele DNS deschise si care ruleaza pe reteaua lor.
Sursa: mashable.com + venturebeat.com