Інтернет-апокаліпсис зараз? експерти кажуть, що ні

Посилена DDoS-атака провайдера веб-хостингу CyberBunker проти спам-спаму проекту SpamHaus Project - це велика новина. "Нью-Йорк Таймс" важив, як і BBC. Агентство захисту Інтернету CloudFlare повідомило, що атака зросла до провайдерів пропускної здатності першого рівня і що атака DDoS 300 Гбіт / с уповільнила зв'язки для багатьох користувачів Інтернету. Але зачекай хвилинку. Ви відчули уповільнення? Так само і я. Насправді, зараз небагато експертів повідомляють, що навіть ця найбільша в історії DDoS-атака не вплинула помітно на Інтернет.

Просто шматочок?

Keynote Systems постійно відстежує час реакції 40 "важливих бізнес-веб-сайтів, що базуються в США", з'єднуючись з ними з ряду ключових місць по всьому світу. Середній час відповіді змінюється, але, як правило, залишається приблизно в одному діапазоні. А індекс ефективності Keynote показує лише легкий "промах" під час нападу.

Основний експерт Аарон Руджер сказав: "Цифри не брешуть - і це факт". Посилаючись на графік ефективності протягом останніх чотирьох тижнів, він зазначив, що "європейські агенти повідомляють про досить послідовну та нормальну продуктивність впродовж … події DDoS. Однак, є деякий проміжок".

"Ми бачимо, - сказав Руджер, - що європейські агенти відчували повільніші часи реагування - до 40% повільніше, ніж у середньому - між 8:30 ранку та 14:30 (PST) 26 березня. Можливо, атака на Спамхаус може бути пов'язане з цим уповільненням, але ми не можемо бути впевнені ". Реджер зазначив, що тисячі людей, які протікали в той самий час на великому футбольному матчі, могли пояснити уповільнення. "Він відкидає твердження, що атака спричинила зриви днями, кажучи:" Ми просто не бачимо з наших даних ".

Просто Хайп?

У великій публікації в блозі Сем Біддл від Gizmodo піде на крок далі, звинувачуючи CloudFlare у завищенні проблеми для власної вигоди. CloudFlare, каже Біддл, "несе відповідальність за падіння погоди в Інтернеті, погода, яка стоїть на прибутку безпосередньо від вас, переживаючи, що Інтернет, як ми знаємо, знаходиться під облогою".

У статті Biddle відображаються графіки з незалежних джерел (подібні до Keynote), які не показують сплеску в трафіку або занурень у відповідь. Звіт Amazon про хостинг Netflix показав нульові відключення протягом тижня. Прес-секретар NTT, "одного з опорних операторів Інтернету", заявив, що хоча атака на 300 Гбіт / с є масовою, більшість регіонів мають потужність в діапазоні Tbps, підсумовуючи "Я зі своїм боком допитуюсь, чи не сколихнув глобальний Інтернет".

Бідлд робить висновок, що CloudFlare "намагався налякати мешканців Інтернету, думаючи, що вони мешканці Дрездена, щоб активізувати бізнес". "Якщо ваш товар вартий чортів", - сказала Біддл, - вам не доведеться брехати в Інтернеті, щоб продати його. Справді, сильні слова.

Проливання світла на проблему

Адам Восотовський, архітектор обміну повідомленнями в лабораторіях McAfee, відчуває, що CloudFlare скорочує деяку слабкість. Навіть якщо вони переоцінили ситуацію, "в цьому немає ніякої шкоди". Він зазначає, що привернення уваги до проблеми може допомогти "менш підготовленим сайтам, які не готові до подібної ситуації просто тому, що вони не цілують цілі дні в гніздах шершнів". Отримати слово означає, що ці компанії "можуть отримати користь від того, що вони знають, що їхня проблема не є унікальною і що насправді є компанії, які спеціалізуються на тому, щоб допомогти їм запобігти атакам".

Що стосується повідомленого уповільнення, Восотовський підтвердив, що Макфей визнав, що деякі веб-сайти "значно постраждали". Він зазначив, що через розмір атаки це може цілком вплинути на "тангенціальні служби, які в якийсь момент свого шляху використовують однакову пропускну здатність".

"Той факт, що колосальна фрікація не є гарантією", - сказав Восотовський, - не знижує важливості аналізу … З точки зору викорінення безпечних притулків для авторів шкідливих програм та ботмейстерів історія справді гідна. "

Гроші та влада

Команда з глобальних досліджень та аналізу лабораторії Касперського не висловлювала жодних сумнівів щодо серйозності атаки, зазначивши, що "потік даних, що генерується такою атакою, може впливати на проміжні вузли мережі при їх передачі, тим самим перешкоджаючи роботі звичайних веб-служб, які не мають стосунку до Спамугауза чи Кібербункера ". Вони продовжували спостерігати, що "DDoS-атаки такого типу зростають як за кількістю, так і за масштабами".

Чому це збільшення? Команда відзначила дві основні (а іноді і однакові) мотивації. "Кіберзлочинці проводять атаки DDoS, щоб зірвати корпорації, намагаючись вимушувати гроші у них", - сказала команда. Вони також можуть "атакувати DDoS як зброю для зриву організацій чи компаній у пошуках власних ідеологічних, політичних чи особистих інтересів". У будь-якому випадку, масивні DDoS-атаки, подібні цій, можуть порушити службу більше, ніж просто ціль атаки.

Звернути увагу!

Напад CyberBunker використовував відображення DNS - техніку, яка дозволяє їм надсилати крихітний пакет даних, який, в свою чергу, змушує сервер DNS випромінювати значно більший пакет у ціль. По суті, це посилює атаку в сто разів. Так, є й інші способи реалізації DDoS-атаки, але це BFG9000 групи. Унеможливити відображення DNS неможливо.

Проект Open DNS Resolver Project містить понад 25 мільйонів серверів, які показують, що їхні тести "становлять значну загрозу". ІТ-хлопці, зверніть увагу! Чи є у цьому списку сервери DNS вашої компанії? Зробіть невелике дослідження і захистіть їх від атак, таких як підробка IP-адреси. Ми всі вам вдячні.