Відео: HTML Character Encoding (Листопад 2024)
CyberBunker працює із знятого з бункеру НАТО; звідси і назва. Компанія стверджує, що є "єдиним справжнім незалежним хостинговим провайдером у світі" і дозволяє клієнтам анонімно розміщувати "будь-який вміст, який їм подобається, крім дитячого порно та будь-якого пов'язаного з тероризмом".
Ця обіцянка, очевидно, виявилася привабливою для однієї або декількох груп спамерів, оскільки SpamHaus простежив значний спам-трафік назад до CyberBunker. Вони внесли в чорний список CyberBunker і тим самим відрізали цих спамерів з близько двох мільйонів Inboxes. В якості помсти CyberBunker запустив те, що називалося найбільшою кібер-атакою коли-небудь.
Посилена атака
CyberBunker намагався закрити SpamHause серйозною атакою DDoS (розподіленого відмови в сервісі). SpamHaus звернувся за допомогою до веб-захисту компанії CloudFlare. CloudFlare визначив, що зловмисники використовують техніку, яку називають відображенням DNS, щоб генерувати величезну кількість веб-трафіку на серверах SpamHaus.
Система доменних імен є важливою складовою Інтернету. DNS-сервери перекладають читані людиною доменні імена, як www.pcmag.com, на IP-адреси, наприклад 208.47.254.73. DNS-сервери є скрізь, і рівень їх безпеки відрізняється. У відображенні DNS зловмисник надсилає багатьом незахищеним DNS-рішенням невеликий запит DNS, який генерує велику відповідь, підробляючи зворотну адресу на адресу жертви.
У своєму дописі на блозі минулого тижня CloudFlare повідомив, що було залучено понад 30 000 DNS-резолюцій. Кожен 36-байтний запит генерував близько 3000 байтів відповіді, посилюючи атаку в 100 разів. На піку атака побила SpamHaus до 90 Гбіт / с невідповідних мережевих запитів, перевантаживши сервери SpamHaus.
Побічний збиток
CloudFlare вдалося пом’якшити атаку за допомогою технології, яку вони називають AnyCast. Якщо коротко, всі центри обробки даних CloudFlare у всьому світі оголошують однакову IP-адресу, і алгоритм збалансування навантаження направляє всі вхідні запити до найближчого центру обробки даних. Це ефективно розбавляє атаку і дозволяє CloudFlare блокувати будь-які напасні пакети від досягнення жертви.
Але це було ще не кінцем. За інформацією New York Times, зловмисники потім повернули свій приціл прямо на CloudFlare, як помста. "Таймс" цитував генерального директора CloudFlare Меттью Принца: "Ці речі по суті схожі на ядерні бомби. Настільки легко завдати стільки шкоди". У статті також зазначалося, що мільйони користувачів виявилися тимчасово не в змозі дійти до певних веб-сайтів через триваючу атаку, зокрема згадуючи Netflix як приклад.
Компанія CloudFlare детально розробила цю проблему в новому посту сьогодні. По-перше, зловмисники пішли слідом за SpamHaus безпосередньо. Далі вони сфокусували свою атаку на CloudFlare. Коли це не спрацювало, вони перенесли атаку вище за течією до "провайдерів, у яких CloudFlare купує пропускну здатність".
У публікації CloudFlare зазначається: "Проблема з атаками такого масштабу полягає в тому, що вони ризикують перекрити системи, які з'єднують між собою сам Інтернет". І дійсно, ця посилена атака на провайдерів пропускної здатності верхнього рівня спричинила значні проблеми з підключенням для деяких користувачів, переважно в Європі.
Не приховуючи
Як повідомляє Times, прес-секретар CyberBunker взяв на себе відповідальність за напад, сказавши: "Ніхто ніколи не депутував Spamhaus, щоб визначити, що йде, а що не йде в Інтернеті. Вони працювали самі в цій позиції, роблячи вигляд, що борються зі спамом".
Веб-сайт CyberBunker може похвалитись іншими проектами з регуляторами та правоохоронними органами. На його сторінці історії зазначено, що "голландська влада та поліція зробили кілька спроб силою ввійти в бункер. Жодна з цих спроб не була успішною".
Варто зазначити, що SpamHaus насправді не «визначає, що відбувається в Інтернеті». Як вказує FAQ на компанію, провайдери електронної пошти, які підписалися на чорні списки SpamHaus, можуть блокувати пошту, що надходить із чорних адрес; це все.
Можливий захист
На щастя, існує спосіб припинити цей тип нападу. Спеціалізована група Internet Engineering опублікувала аналіз найкращої сучасної практики (BCP-38), в якому описується, як провайдери можуть запобігти підробленню IP-адреси підробкою і тим самим перемогти атаки, як відображення DNS.
CloudFlare займався дещо тактикою "імені та сорому", публікуючи імена постачальників з найбільшою кількістю незахищених серверів DNS. За повідомленням у блозі CloudFlare, через чотири місяці кількість відкритих DNS-рішень зменшилася на 30 відсотків. Проект «Відкритий дозвіл» перелічує 25 мільйонів незахищених дозволів. На жаль, як зазначається у публікації CloudFlare, "погані хлопці мають список відкритих дозволів, і вони стають все більш нахабними в атаках, які вони готові розпочати".
Система DNS абсолютно важлива для функціонування Інтернету; вона потребує найкращого захисту, який ми можемо їй забезпечити. Більше постачальників потребує закриття отворів у безпеці, які дозволяють здійснити подібну атаку. Однією із заявлених цілей CloudFlare є "зробити DDoS чимось, про що ви лише читаєте в книгах історії". Ми можемо сподіватися!