Apocalipsa pe Internet acum? experții spun că nu

Atacul amplificat de DDoS al furnizorului de găzduire web CyberBunker împotriva echipamentelor antispam SpamHaus Project este o veste importantă. New York Times a cântărit, la fel și BBC. Agenția de protecție Internet CloudFlare a raportat că atacul a crescut până la furnizorii de lățime de bandă de nivel 1 și că un atac DDoS de 300 Gbps a încetinit conexiunile pentru mulți internauți. Dar așteaptă un minut. Ați cunoscut o încetinire? Nici eu. De fapt, destul de mulți experți raportează acum că chiar și acest atac cel mai mare DDoS nu a afectat considerabil internetul în general.

Doar un Blip?

Keynote Systems monitorizează constant timpul de răspuns al 40 de „site-uri web importante de afaceri din SUA”, conectându-se cu ele dintr-o serie de locații cheie din întreaga lume. Timpul mediu de răspuns variază, dar tinde să rămână aproximativ în același interval. Iar indicele de performanță Keynote arată doar un „blip” ușor în timpul atacului.

Expertul din Keynote, Aaron Rudger, a spus: „Numerele nu se află - și acesta este un fapt”. Referindu-se la un grafic al performanței din ultimele patru săptămâni, el a menționat că "agenții europeni raportează o performanță destul de consistentă și normală pe tot parcursul… evenimentul DDoS. Cu toate acestea, există un mic aspect care apare".

„Noi vedem, a spus Rudger, că agenții europeni au avut timp de răspuns mai lent - cu până la 40% mai lent decât media - între orele 8:30 și 14:30 (PST) din 26 martie. Este posibil ca atacul Spamhaus să fie ar putea fi legat de această încetinire, dar nu putem fi siguri. " Rudger a menționat că mii de oameni care difuzează marele meci de fotbal care a avut loc în același timp ar putea însemna încetinirea. "El respinge afirmația potrivit căreia atacul a provocat zile de întrerupere, spunând:„ Nu vedem pur și simplu din datele noastre."

Doar Hype?

Într-o postare extinsă pe blog, Sam Biddle de la Gizmodo face un pas mai departe, acuzând CloudFlare că a supraestimat problema pentru propriul lor beneficiu. CloudFlare, spune Biddle, este „responsabilă pentru raportul meteo pe internet care cade în cer, partidul care va câștiga direct din partea dvs. fiind îngrijorat că internetul așa cum știm că este asediat”.

Articolul lui Biddle afișează grafice din surse independente (similare cu Keynote) care nu arată vârfuri în trafic sau scufundări în timpul de răspuns. Un raport al Amazon cu privire la găzduirea Netflix a arătat zero întreruperi în cursul săptămânii. Un purtător de cuvânt al NTT, „unul dintre operatorii coloanei vertebrale ale Internetului”, a declarat că, în timp ce un atac de 300 Gbps este masiv, majoritatea regiunilor au capacități în intervalul Tbps, concluzionând „Am partea cu voi întrebând dacă a zguduit internetul global”.

Biddle concluzionează că CloudFlare „încerca să sperie rezidenții internetului, crezând că sunt rezidenții din Dresda pentru a-și încetini activitatea”. „Dacă produsul tău merită un al naibii”, a spus Biddle, „nu ar trebui să te minti pe internet pentru a-l vinde”. Cuvinte puternice, într-adevăr.

Aruncarea luminii asupra problemei

Adam Wosotowsky, arhitectul de mesagerie de date de la McAfee Labs, se simte de parcă ar fi tăiat CloudFlare. Chiar dacă au supraîncărcat situația, „nu există niciun rău în ea”. El subliniază că atragerea atenției asupra problemei poate ajuta „site-urile mai puțin pregătite acolo, care nu sunt pregătite pentru acest tip de situație, pur și simplu pentru că nu se aruncă cu capul la cuiburile de la hornet”. Obținerea cuvântului înseamnă că acele companii „pot beneficia de faptul că știu că problema lor nu este unică și că există de fapt companii care se specializează în a le ajuta să prevină atacurile”.

În ceea ce privește încetinirea raportată, Wosotowsky a confirmat că McAfee a găsit anumite site-uri web „afectate în mod semnificativ”. El a menționat că, datorită dimensiunii atacului, acesta ar putea afecta bine „serviciile tangențiale care sunt la un moment dat în calea lor folosind aceeași lățime de bandă”.

"Faptul că un freak-out colosal nu este justificat", a spus Wosotowsky, "nu reduce importanța analizei… Din perspectiva rădăcinării unor paradisuri sigure pentru autorii de malware și botmasterii, povestea este într-adevăr demnă."

Bani și putere

Echipa globală de cercetare și analiză Kaspersky Lab nu a exprimat nicio îndoială cu privire la gravitatea atacului, menționând că „fluxul de date generat de un astfel de atac poate afecta nodurile intermediare ale rețelei atunci când le trece, împiedicând astfel operațiunile serviciilor Web normale care nu au nicio legătură cu Spamhaus sau Cyberbunker ". Au continuat să observe că „atacurile DDoS de acest tip cresc în ceea ce privește cantitatea și scara”.

De ce această creștere? Echipa a remarcat două motivații majore (și uneori suprapuse). "Ciberneticii efectuează atacuri DDoS pentru a perturba corporațiile în efortul de a extorca bani de la acestea", a declarat echipa. De asemenea, aceștia pot „atacuri DDoS ca o armă pentru a perturba organizațiile sau companiile în urmărirea propriilor lor interese ideologice, politice sau personale”. Oricum, atacurile masive de tip DDoS pot perturba serviciul pentru mai mult decât doar ținta atacului.

Fiți atenți!

Atacul CyberBunker a folosit reflecția DNS, o tehnică care le permite să trimită un pachet de date minuscul care la rândul său determină un server DNS să prezinte un pachet mult mai mare la țintă. De fapt, amplifică atacul de o sută de ori. Da, există și alte modalități de a implementa un atac DDoS, dar acesta este BFG9000 al buchetului. A face imposibilă reflectarea DNS ar fi un lucru bun .

Proiectul Open DNS Resolver listează peste 25 de milioane de servere pe care testele lor le arată „reprezintă o amenințare semnificativă”. Băieți IT, atenție! Serverele DNS ale companiei dvs. sunt listate? Faceți puțină cercetare și protejați-le împotriva atacurilor precum spoofing-ul adreselor IP Vă vom mulțumi cu toții.