Distribuovaný útok odmietnutia služby s rýchlosťou 300 Gbps, ktorý sa považuje za najväčší na svete, otestoval kľúčovú internetovú infraštruktúru a tento útok zatiaľ zlyhal.
CloudFlare tvrdil, že zmiernil najväčší distribuovaný útok odmietnutia služby (DDoS) v histórii internetu.
Spamhaus, nezisková organizácia zameraná na boj proti spamu, prišla minulý týždeň do CloudFlare o pomoc proti veľkému útoku DDoS, ktorý zažívala. Po prechode na sieť CloudFlare 19. marca útok začal záplavou 10 Gbps, ktorá neskôr v noci narástla na viac ako 100 Gbps. Spočiatku to zrušilo webovú stránku Spamhaus, pričom výpadok nezávisle zaznamenal Internet Storm Center v tom čase.
Podľa CloudFlareVäčšina útoku bola odoslaná pomocou techniky nazývanej reflexia DNS (systém názvov domén). Za normálnych okolností DNS resolvery čakajú na požiadavku používateľa, ako je napríklad vyhľadanie IP adresy pre názov domény, a následne zodpovedajúco reagujú.
Problém s týmto systémom je v tom, že zdrojovú adresu takýchto žiadostí možno ľahko sfalšovať a zadať bez akejkoľvek kontroly alebo autentifikácie, DNS resolver jednoducho odpovie na zdrojovú IP adresu. Aj keď je to jednoduchý spôsob, ako „odraziť“ požiadavku z iného servera, má to aj ďalšiu výhodu zosilnenia škody, ktoré môže útočník spôsobiť, pretože odpoveď odoslaná z DNS resolvera je často mnohonásobne väčšia ako odpoveď žiadosť.
Obmedzenie odpovedí DNS resolvera na známe IP adresy je jedným zo spôsobov, ako kontrolovať, kto môže alebo nemôže byť a potenciálny cieľ, ale mnoho DNS resolverov jednoducho nie je nakonfigurovaných týmto spôsobom – alebo ako v prípade Google Verejná služba DNS, majú byť otvorené pre verejnosť.
Na zmiernenie zneužitia je všeobecne akceptovanou praxou obmedzovanie odpovedí, čo v súčasnosti robí Google. Podľa CloudFlare však útočníci použili viacero DNS resolverov na rozloženie záťaže na mnoho cieľov, zastavenie akéhokoľvek škrtenia a pod radarom akýchkoľvek bezpečnostných opatrení. Podľa spoločnosti pôvodne zaznamenala viac ako 30 000 DNS resolverov, ktoré boli oklamané, aby sa zúčastnili útoku.
Stratégia CloudFlare reagovať na takéto distribuované útoky je podobná. Útoky DDoS sú zvyčajne úspešné, pretože jeden cieľ nie je schopný vyrovnať sa s kombinovanými účinkami viacerých prichádzajúcich toky návštevnosti, takže odpoveďou CloudFlare je vytvoriť viac „cieľov“, z ktorých každý dokáže zvládnuť menší kus dopravy. Vzal prenos a rozšíril ho do 23 vlastných dátových centier a zároveň vyhodil všetky požiadavky, o ktorých vedel, že sú falošné.
Pohyb proti prúdu
Uvedomili si, že ich útok nefunguje, útočníci zmenili taktiku a úplne obišli CloudFlare tým, že presunuli útok proti prúdu k dodávateľom CloudFlare, čo zase posunuli prevádzku ďalej až k ešte väčším sieťam – zjednodušene povedané, tie, ktoré obsluhujú pripojenia k hlavným ISP a od nich, ktoré umožňujú krajinám komunikovať iné.
Podľa CloudFlare bol útok na tieto siete vyšší ako 300 Gbps a ďalšie útoky „hrozia zahltenie systémov ktoré spájajú samotný internet“ s odkazom na internetové výmeny (IX), ktoré mnohí poskytovatelia internetových služieb na vysokej úrovni používajú na komunikáciu iné.
„Najväčšie smerovače, ktoré si môžete kúpiť, majú porty maximálne 100 Gb/s. Je možné spojiť viac ako jeden z týchto portov dohromady a vytvoriť tak kapacitu, ktorá je väčšia ako 100 Gbps; v určitom bode však existujú limity toho, koľko tieto smerovače zvládnu. Ak sa tento limit prekročí, sieť sa zahltí a spomalí,“ napísala spoločnosť.
Napriek tomu, že CloudFlare priznal, že nemá „priamy prehľad o prevádzkovom zaťažení“, ktoré zaznamenávajú siete úrovne 1, „zaznamenali sme preťaženie na niekoľkých hlavných úrovniach. predovšetkým v Európe, kde sa sústreďovala väčšina útokov, ktoré by postihli stovky miliónov ľudí, aj keď surfovali po stránkach nesúvisiacich so Spamhausom alebo CloudFlare. Ak sa vám internet v posledných dňoch v Európe zdal trochu pomalší, môže to byť jeden z dôvodov, prečo to tak je.“
Riaditeľ spoločnosti Sophos pre Áziu a Tichomorie Rob Forsyth súhlasil s hodnotením vplyvu spoločnosti CloudFlare na európsku sieť. ZDNet, že Európa zažíva pomerne veľké prerušenie svojho obvyklého toku premávky, v závislosti od toho, akí sú používatelia robí. Nesúhlasil však s akýmkoľvek názorom, že by bol ovplyvnený globálny internet ako celok.
„Ľudia si môžu všimnúť, že streamovanie môže byť v Európe prerušené, ale veci ako doručovanie e-mailov a návštevnosť dátových súborov a tak ďalej nie je ten druh vecí, ktoré budú vo veľkom rozsahu prerušované,“ povedal povedal.
"Problém je zatiaľ obmedzený na Európu."
Pokiaľ ide o Austráliu, Forsyth povedal, že nedochádza k „žiadnemu výraznému zníženiu kapacity internetu“, čo naznačuje, že útok nie je taký, ktorý „takmer rozbil internet“.
"Internet bol navrhnutý tak, aby bol odolný a myslím si, že internetová prevádzka bude smerovaná okolo akéhokoľvek typu narušenia."
Pokiaľ ide o tvrdenia spoločnosti CloudFlare, že najväčšie smerovače nebudú schopné škálovať, aby podporovali objem prevádzky, zdá sa, že niektoré vlastné produkty spoločnosti Cisco viac než prekračujú požadovanú kapacitu. Viacpolicová verzia Cisco CRS-1 (carrier routing system) router je napríklad schopný škálovať na 92 Tbps. Cisco nevrátilo otázky ZDNet, či by boli vhodné pre túto aplikáciu, ale zdá sa že mnohé IX dokážu spracovať 300 Gbps prevádzky s existujúcimi alebo minimálnymi vylepšeniami svojej infraštruktúry.
Ak chcete zdôrazniť niekoľko IX na porovnanie, Amsterdam IX AMS-IX mala v minulom roku špičkovú ročnú prevádzku približne 2,2 Tbps, Švédsko IX Netnod mala špičkovú ročnú prevádzku okolo 340 Gbps a Moskva IX MSK-IX mala špičkovú ročnú prevádzku približne 1 Tbps.
DNSSEC
Hoci existuje bezpečnostná iniciatíva zameraná na zvýšenie bezpečnosti DNS – DNSSEC – nemusí nutne riešiť problém falošných zdrojových adries. Požiadavky a odpovede DNS zvyčajne používajú protokol UDP, a nie protokol TCP. Ten vyžaduje trojstranné podanie ruky na vytvorenie kanála a potvrdenie so strojom, s ktorým hovorí, že v skutočnosti nadviazal spojenie. Prvý však nie.
Namiesto toho, aby to bol problém, ktorý by DNSSEC mohol vyriešiť, je to v skutočnosti problém s transportným protokolom, ktorý má len málo spoločného s dodatočnými bezpečnostnými opatreniami, ktoré DNSSEC môže ponúknuť. Ako však v minulosti upozornil Cloudflare a ďalší, DNSSEC môže problém zhoršiť, pretože dodatočné kľúče potrebné na overenie záznamov ďalej zvyšujú rozsah zosilnenia, ku ktorému má útočník prístup.
Napriek tomu Forsyth povedal, že takéto útoky môžu mať striebornú vlnu, čím sa zvyšuje povedomie o nedostatkoch v DNS a dôležitosti DNSSEC.
„DNSSEC sprísňuje pravidlá týkajúce sa spôsobu, akým sa služba doménových mien správa, a poskytuje ďalšiu úroveň zabezpečenia, takže keď zvýšite bezpečnosť akéhokoľvek komponentu, možno sa kyberzločinci zamerajú na slabší článok niekde inde,“ povedal.
"Toto môže byť katalyzátor na preskúmanie všetkých aspektov bezpečnosti vrátane DNSSEC."