Największy cyberatak w historii internetu

[vonz]

Internet na całym świecie zwolnił po zmasowanej akcji, którą eksperci do spraw bezpieczeństwa nazywają największym tego typu cyberatakiem w historii.

ak podaje portal BBC News, spór pomiędzy organizacją zwalczającą internetowy spam i firmą hostingową wywołał serię ataków odwetowych, które wpłynęły na prędkość działania Internetu na całym świecie.

Ofiarą ataków jest Spamhaus - organizacja non-profit, której celem jest pomoc w filtrowaniu spamu i innego rodzaju niechcianych treści. W tym celu grupa prowadzi bazy danych serwerów wykorzystywanych do przesyłania tego typu informacji.

Ostatnio Spamhaus zablokowała serwery firmy Cyberbunker, która deklaruje, że jest gotowa przechowywać każdą treść pod warunkiem, że nie jest to dziecięca pornografia ani materiały terrorystyczne. To właśnie tę firmę przedstawiciele Spamhaus oskarżają o przeprowadzenie ataków typu DDoS na swoje serwery. Atak DDoS polega na zajęciu wszystkich wolnych zasobów sieci poprzez fałszywe próby skorzystania z usług, które oferuje. Według organizacji Spamhaus, Cyberbunker współpracował w czasie ataku z „organizacjami przestępczymi” z Europy Wschodniej i Rosji.

Jak powiedział BBC Steve Linford, dyrektor zarządzający Spamhaus, skala ataku była bezprecedensowa – wygenerowany ruch był sześciokrotnie bardziej intensywny od tego, który jest odnotowywany przy podobnych atakach na największe banki. Dodał także, że w przypadku, gdyby podobny atak skierowany został na rządowe serwery Wielkiej Brytanii, byłyby w stanie sparaliżować całą infrastrukturę sieciową Downing Street. Jak tłumaczy szef organizacji, dzięki rozproszonej infrastrukturze ulokowanej w wielu różnych państwach, Spamhaus zdołał oprzeć się sabotażowi.

Ataki, które doprowadziły do spowolnienia w działaniu całego światowego Internetu, bada pięć krajowych służb zajmujących się bezpieczeństwem w sieci

żródło:forsal.pl
szczególy:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[kinimoD]

Nie wiem czy to tylko takie złudzenie po przeczytaniu informacji na DobreProgramy, ale niektóre strony faktycznie jakoś gorzej działają.

 

[vonz]

Nie wiem czy to tylko takie złudzenie po przeczytaniu informacji na DobreProgramy, ale niektóre strony faktycznie jakoś gorzej działają.

Tez ostatnio odniosłem takie wrażenie,ale tłumaczyłem sobie to tym ,że coś przekombinowałem z
,,opancerzeniem ,, systemu.

 

[spamcop]

Takie dyrdymaly o spowolnieniu CAŁEGO internetu może wypisywać dziennikarzyna sledczy zajmujący sie do tej pory aferami miesnymi, jogurtowymi, albo sensacjami na pudelku itp, czyli nie majacy pojecia jak dziala siec.

To ze spamhaus byl dosowany i mial problem to fakt, bo na ddosa nie ma mocnych, ale do spowolnienia CAŁEJ sieci ma się tak jak pięść do nosa. Aby wykonac DDOSa wystarczy wysylac do atakowane hosta pakiety SYNC, nie odbierajac ACKów, a to nie generuje ruchu ktory mogłby spowolnic łacza megabitowe, a co dopiero trunki o przepustowosci setek gigabitów....
czyli CAŁY internet... więc pierdu pierdu

Ale jak to się mówi: "mowiła jedna pani drugiej pani w maglu" ja dziennikarz usłyszałem i zrobie artykuł, ktory podchwycą masy mające rownie wielkie pojęcie o sieci jak ja dziennikarz. Niewiedza jest podatnym gruntem do tworzenia sensacji

Pozdrawiam przerazonych

 

[Areopagita]

Takie dyrdymaly o spowolnieniu CAŁEGO internetu może wypisywać dziennikarzyna sledczy zajmujący sie do tej pory aferami miesnymi, jogurtowymi, albo sensacjami na pudelku itp, czyli nie majacy pojecia jak dziala siec.

Pozdrawiam przerazonych

Dzięki. Bo już chcieliśmy do Franciszka pisać, aby sieć ratował. Ale skoro mówisz, że nie ma się czego bać, to i przerażenie znikło, jak ręką odjął...



A tak przy okazji, jesteś pewien, że atak nie spowolnił sieci? Z tego co zrozumiałem z tekstu odpowiedzialne za spowolnienie sieci miało być użycie wielokrotnie mocniejszego bootnetu, niż to się dzieje zazwyczaj. Mogło to mieć wpływ na sieć w wielu miejscach na świecie? Bo zapewne o to chodziło, a nie o spowolnienie ruchu dokładnie na wszystkich komputerach. Tak pytam, bo widzę, że znasz się na tych sprawach.

 

[SE7EN]

Cyberbunker leży (przynajmniej u mnie ich strona nie działa)

 

[cień]

W pracy zauważyłem, że coś wolniej działa, sądziłem że IE ma gorszy dzień. W domu podobnie, niektóre strony wolniej się ładowały lub wcale.

 

[guma77]

bylo cos nie tak , mi sie alledrogo nie otwieralo

 

[spamcop]

(...)
A tak przy okazji, jesteś pewien, że atak nie spowolnił sieci? Z tego co zrozumiałem z tekstu odpowiedzialne za spowolnienie sieci miało być użycie wielokrotnie mocniejszego bootnetu, niż to się dzieje zazwyczaj. Mogło to mieć wpływ na sieć w wielu miejscach na świecie? Bo zapewne o to chodziło, a nie o spowolnienie ruchu dokładnie na wszystkich komputerach. Tak pytam, bo widzę, że znasz się na tych sprawach.

Jeśli nawet komus cos spowolniło, to zwykły zbieg okoliczności, natłok ruchu w weźle spowodowany zupelnie czym innym.
Jak pisałem wcześniej, DDOS (lub DOS) z definicji nie generuje ruchu wzmożonego pakietów/datagramów w sieci, tylko działa na hosta koncowego w ten sposób, że następuje tzw odmowa usług czyli Denial Of Service (odmiana Distributed Denial of Service).
Roznica miedzy nimi taka ze DOS generowany jest z malej ilosci hostów i łatwo go ubić na routerach brzegowych, a DDOS z setek tysiecy komputerow nawet na małych łaczach rzetu 50-128kbps i to wystarczy, a ubic go trudno bo mozna odcinac własnych userów....

Internet jako całośc mogłby zwolnic w przypadku ataku na usługe DNS, bez ktorej siec jest w zasadzie bezuzyteczna, ale tez musiałoby to byc przeprowadzane na serwery ROOT. Prawdziwa informacja w tych dziennikarskich popłuczynach to to ze spamhaus byl DOSowany, takich atakow bylo duzo, kiedys oberwal mikrosoft i nne duze instytucje. Ale internet od tego nie zwolnil. Reszte sobie publikujący dodał dla większego wrażenia.....

Poczytaj na czym polega DOS (np w wikipedii) z szybko zorientujesz sie ze ciemniak dziennikarz podłaczył pod DDOSa na konkretne hosty usługowe, CAŁY INTERNET, bo jak to brzmi....!!!! Ciemniactwo do potegi n-tej. Podchwycą to ludzie nie majacy pojacia o czym mowią (magiel) i sensacja gotowa... z realem nie majaca jednak nic wspolnego.

Nie istnieje na swiecie serwer ktory potrafiłby oprzeć się DDOSowi, są metody zmniejszania skutków, ale defacto na dluzsza mete nikt tego nie zniesie.

Np aby uwalic przecietny serwer WWW jakich sa setki w sieci (np strony firmowe, blogi itp) wystarczy puscic flooda na poziomie kilkuset pakietów (kilkudziesieciu-bajtowych) SYN/sekunde. I wiekszosc lezy i kwiczy. Im rozleglejsza siec floodujaca (np bootnet), tym trudniej uwalic taki atak, a czesto jedyna metoda to przeczekanie - niestety i nie ma na to kozaka w sieci.

Kilkaset pakietów po nawet 100-200 bajtów/sek., to bedzie 10KB/s 20KB/s 100KB/s.....? i serwer lezy i kwiczy, to przepraszam co to ma do spowolnienia internetu? Oczywiscie to trywialny przyklad, bo skala ataku na spamhaus nieporownywalnie wieksza, ale to problem konkretnych hostów usług koncowych, a nie CAŁEGO INTERNETU (wysycenia pasma w wezłach).

Po prostu jak czytam wypociny niektorych pismaków to krew się gotuje że sieją taką ciemnotę w narodzie.... magiel

pozdro

 

[spamcop]

Przy okazji dmuchającym w iskierke sensacji polecam:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

nie robcie obciachu, cytujac jakiegos mało rozgarnietego "dziennikarza"

 

[remool]

spamcop napisał (a)

....Internet jako całośc mogłby zwolnic w przypadku ataku na usługe DNS, bez ktorej siec jest w zasadzie bezuzyteczna,.....

Odp

Sprawcy ataku dokładnie sobie wszystko przemyśleli. Zamiast zwykłego ataku, wykorzystano serwery DNS. Podając się za Spamhouse, serwery te zostały zalane zapytaniami, które następnie zostały przyjęte i poddane procesom, które zwiększają ich wielkość i odesłane na serwery grupy. Niesamowicie duża liczba takich ataków spowodowała znaczne obniżenie wydajności poszczególnych stron – i oto mamy największy jak dotąd cyber-atak.

No dobra, jedna grupa atakuje drugą, ale dlaczego cierpi na tym cała światowa sieć? Otóż, między innymi właśnie dlatego, że do ataku wykorzystano serwery DNS, a te pełnią kluczowe funkcje w kwestii działania internetu. Tak blokowane są poszczególne obszary sieci i całość „leci” już jak kostki domina.

Według ekspertów siła ataku jest tak silna, że zdołałby on całkowicie unieruchomić internetową infrastrukturę brytyjskiego rządu. Powtarzające się ataki sięgają nawet 300 Gb/s, podczas gdy w przypadku podobnego rodzaju ataków na duże banki mówi się o 50 Gb/s. Nie ma więc wątpliwości, że skala jest naprawdę ogromna.

BTW Obecny atak będzie znakomitym pretekstem dla wielu rządów do wprowadzenia dodatkowych restrykcji i nowych mechanizmów nadzorowania sieci ...oczywiście wszystko to aby walczyć z terrorystami i pedofilami dla naszego bezpieczeństwa .

 

[SE7EN]

Otwarte serwery DNS – najlepszy przyjaciel ataków DDoS

DDoS via DNS?
Ataki DoS (denial-of-service) znane są od dawna. Jedynym ich celem jest sparaliżowanie infrastruktury teleinformatycznej ofiary – a co za tym idzie uniemożliwienie świadczenia usługi w sieci. Jedną z najbardziej popularnych form tego ataku jest wersja rozproszona – DDoS (distributed denial-of-service).

Od kilku dni trwa jeden z największych znanych do tej pory ataków DDoS. Jak donoszą media (np. BBC NEWS, The New York Times) wielkość ataku dochodzi do 300 Gbps (gigabitów na sekundę!). Co ciekawe do przeprowadzenia tego ataku zostały użyte otwarte serwery DNS. W jaki sposób?

Dlaczego DNS jest bardzo ważny?
DNS jest usługą, bez której korzystanie z sieci nie było by tak proste jak obecnie. Dostarcza on między innymi mechanizmów, pozwalających na przypisywanie nazw domenowych (np: cert.pl) do adresów IP, na których dana usługa jest uruchomiona. Zwalnia to użytkowników z konieczności zapamiętywania adresów serwisów w formie numerycznej. DNS zawiera również wiele informacji, które są wykorzystywane w komunikacji między serwerami – np. jaki serwer jest odpowiedzialny za obsługę poczty dla danej domeny.

Aby móc korzystać z dobrodziejstw oferowanych przez DNS potrzebny jest dostęp do serwera, który potrafi odnaleźć w rozbudowanej strukturze interesującą użytkownika domenę oraz przypisane do niej informacje. Serwery takie nazywane są resolverami. Po otrzymaniu od użytkownika zapytania wykonują one serię określonych operacji aby uzyskać żądaną informację – np. jaki jest adres IP serwera, na którym znajduje się strona cert.pl.

Większość serwerów DNS udostępnia swoje usługi wyłącznie użytkownikom konkretnej sieci, np. wewnątrz jednej firmy czy jednego dostawcy usług internetowych. Serwery DNS odpowiadające na zapytania każdemu użytkownikowi Internetu nazywane są open resolverami. Najczęściej sytuacja taka jest wynikiem zaniedbania lub błędu administratora.

Jak działa atak odbity?
Ataki odbite (ang. reflected) wykorzystują możliwość wygenerowania pakietu IP z podmienionym adresem źródłowym. Normalnie taki pakiet nie ma praktycznego zastosowania, ponieważ po dotarciu do serwera docelowego odpowiedź zostanie wysłana pod sfałszowany adres, a nie do nadawcy. Jak się można domyślać jest to stan pożądany przez osoby planujące atak. Ważnym ograniczeniem ataków z podmienionym adresem źródła jest brak możliwości nawiązania pełnej sesji protokołu TCP ze względu na TCP Handshake. Idealnie natomiast nadają się one do wykorzystania w przypadku bezstanowego protokołu UDP.

Jak działa wzmocniony atak odbity (ang. reflected-amplification)?
Ataki te wykorzystują fakt, iż niektóre usługi sieciowe po wysłaniu stosunkowo małego zapytania generują znacznie większą odpowiedź. Dodatkowo takie usługi powinny umożliwiać komunikację za pomocą protokołów bezstanowych, co umożliwi podmianę adresu źródłowego. Najlepszym przykładem takiej usługi jest wspomniany DNS. Przykładowo: krótkie zapytanie (23 bajty) o rekord “IN ANY wp.pl” wysłane do podatnego serwera OPEN-RESOLVER powoduje wygenerowanie ponad dziesięciokrotnie większej odpowiedzi (261 bajtów) – jak na zrzucie poniżej:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Jedynym ograniczeniem jest maksymalny rozmiar pakietu DNS jaki można przesłać za pomocą protokołu UDP. Maksymalna wartość określona w RFC 1035 wynosi 512 bajtów. Nawet przy tym założeniu wystarczy znaleźć odpowiednią nazwę domenową aby jak w powyższym przykładzie uzyskać ponad dwudziestokrotne wzmocnienie. Pozwala to osobie dysponującej łączem internetowym o przepustowości wychodzącej rzędu 10 Mb/s na przeprowadzenie ataku o wielkości 200 Mb/s. A przecież ataki DDoS nie są wykonywane z jednego łącza.

Zakładając możliwość uzyskania wzmocnienia na poziomie 20x, prosta kalkulacja pozwala otrzymać informację, iż aby wygenerować wspomniany wcześniej ruch rzędu 300 Gbps wystarczy “jedynie” 15 Gbps łącze oraz odpowiednia liczba źle skonfigurowanych serwerów DNS.

Co zrobić z otwartym serwerem DNS?
Jeżeli jesteś właścicielem/administratorem serwera DNS:
1) Zastanów się jaką funkcję ma spełniać serwer. Czy ma to być lokalny resolver czy też
być autorytatywnym serwerem utrzymującym konkretne domeny.
2) Sprawdź autorytatywny serwer przypadnie nie działa również jako open resolver.
3) Jeśli Twój serwer ma być resolverem, upewnij się że tego chcesz i jest Ci to potrzebne! Istnieje wiele dobrze skonfigurowanych otwartych serwerów DNS (np. Google Public DNS czy openDNS), a każdy szanujący się ISP dostarcza swoim użytkownikom adresy swoich lokalnych resolverów.
4) Zabezpiecz i skonfiguruj:
- Czy serwer musi być dostępny publicznie? Jeżeli z założenia z serwera ma korzystać ograniczony zbiór użytkowników, warto ograniczyć dostęp do konkretnych sieci IP
- Jeżeli ma być dostępny publicznie, skonfiguruj go tak, aby nie został wykorzystany do przeprowadzania opisanego wyżej ataku.
Więcej technicznych informacji na temat otwartych serwerów DNS oraz ich zabezpieczania można znaleźć na stronie openresolverproject.org. Znajduje się tam również narzędzie umożliwiające sprawdzenie, czy w danej podsieci IP nie znajduje się serwer DNS typu open resolver.

Źródło: cert.pl

 

[Kamelka]

Otwarte serwery DNS – sprzyjają atakom DDoS

Otwarte serwery DNS – najlepszy przyjaciel ataków DDoS
...

Źródło: CERT Polska

/było

 

[spamcop]

Jak koledzy doskonale opisali powyżej DDOS ewoluuje, i co gorsze zaczyna wykorzystywac coraz niższe warstwy sieci/aplikacji.

Niezabezpieczone serwery administratorów dyletantów, można pewnie w miarę szybko i skutecznie eliminować, rożnymi sposobami "nacisku". Wydaje się jednak, że główną przyczyną są niezabezpieczone komputery lamerów/dzieci neostrady/etc, którym wydaje się że jedyną procedurą korzystania z sieci jest kupienie sprzętu "nie dla idiotów", modemu i podłączenie się do netu.

A na zabezpieczenie i aktualizację nie ma czasu, ochoty i środków. Bo przecież "troche mi sprzęt zwolnił", ale działa. Taki proceder powinien być tępiony rozpalonym żelazem.... Zombie w zestawie (botnet), bo o tym mowa, to problem DDOSów, spamu, kradzieży tożsamości. Jeśli kradzież tożsamości odbija się na lamerze z dziurawym kompem (i dobrze!), to cała reszta na innych uzytkownikach sieci i operatorach, którzy ponoszą kosmiczne koszty zabezpieczania się przed tą zarazą (znam to autopsji)

pozdr