Die beiden DNS-Root-Server waren die einzigen, die von dem intensiven Denial-of-Service-Angriff im letzten Monat „schwer betroffen“ waren Laut einem von veröffentlichten Bericht (.pdf) wurden gezielt Angriffe durchgeführt, die die Anycast-Lastausgleichstechnologie noch nicht installiert haben ICANN.
Während der Kontinentübergreifender Angriff, die am 6. Februar etwa zweieinhalb Stunden dauerte, nutzten unbekannte Angreifer gekaperte Computer im asiatisch-pazifischen Raum, um sechs davon zu bombardieren Die 13 Root-Server erreichten eine Datenrate von sage und schreibe 1 GB pro Sekunde. Da die Ziele jedoch die Anycast-Technologie nutzten, war dies bei den Endbenutzern nicht der Fall betroffen.
(NOTIZ: Die Datenmenge von 1 GB pro Sekunde entspricht in etwa dem Empfang von 13.000 E-Mails pro Sekunde oder über 1,5 Millionen E-Mails in nur zwei Minuten.
Der Bericht enthält enttäuschend wenige Angaben zu den Ursprüngen oder Taktiken der Angreifer. ICANN bestätigte den Verdacht, dass Zombie-Maschinen in Südkorea das Botnetz bildeten, das den Angriff startete, warnte jedoch, dass es sich dabei größtenteils um „fundierte Vermutungen“ handele.
„Es hätte genauso gut aus mehreren verschiedenen Ländern gleichzeitig kommen können. Es sei sogar möglich, dass der Angriff von außerhalb der Region ausging und viele der Internetadressen, von denen der Angriff offenbar ausging, tatsächlich „gefälscht“ oder gefälscht waren, so ICANN. „Tatsächlich sind sich die Ingenieure ziemlich sicher, dass es aus dem asiatisch-pazifischen Raum stammte, aber das bedeutet nicht, dass derjenige, der dahinter steckte, nicht in Frage kommt.“ Der Angriff findet im asiatisch-pazifischen Raum statt, da er genauso gut von überall im Netzwerk, d. h. überall im Raum, ausgelöst werden könnte Welt."
Die südkoreanischen Behörden haben dies bereits aktenkundig gemacht Die Angriffsbefehle wurden von einem Host-Server in Coburg, Deutschland, gesendet.
Einige Highlights aus dem ICANN-Bericht:
- Mindestens sechs Root-Server wurden angegriffen, aber nur zwei davon waren spürbar betroffen: der „g-root“, das vom US-Verteidigungsministerium betrieben wird und seinen physischen Sitz in Ohio hat, und die „l-root“, die von betrieben wird ICANN.
- Der Grund, warum diese beiden besonders stark betroffen waren, liegt darin, dass sie die einzigen Root-Server sind angegriffen, die Anycast noch nicht installiert haben (weitere drei Root-Server ohne Anycast wurden nicht angegriffen). diesmal).
- Die Tatsache, dass nicht alle Root-Server auf Anycast umgestellt wurden, war eine bewusste Entscheidung, um einen Single Point of Failure zu vermeiden. Es gab einige Bedenken, dass es ein Sicherheitsrisiko darstellen könnte, wenn viele verschiedene Server so aussehen, als kämen sie vom selben Ort. Und so haben nur ein paar Root-Server das System zuerst ausprobiert, gründlich getestet und eventuelle Fehler behoben, bevor der nächste Satz umgezogen ist.
- Die Betreiber der von dem Angriff betroffenen Server waren sich dessen nahezu augenblicklich bewusst. Aufgrund der Art und Weise, wie der Angriff funktionierte (wobei ein Befehl gleichzeitig an eine große Anzahl von Computern zum Senden gegeben wurde). Daten an den gleichen Ort), kam es wie eine Mauer an, die sofort alle eingebauten Alarme auslöste Netzwerke.
- Eine mögliche Erklärung für die Root-Server-Angriffe besteht darin, als Werbung für ein bestimmtes Botnetz zu fungieren.