Video: Wialon за 10 минут (GPS Tag) (November 2024)
CyberBunker werkt vanuit een buiten gebruik gestelde NAVO-bunker; Vandaar de naam. Het bedrijf beweert "de enige echte onafhankelijke hostingprovider ter wereld" te zijn en stelt klanten in staat anoniem "elke inhoud te hosten die ze leuk vinden, behalve kinderporno en alles wat met terrorisme te maken heeft".
Die belofte bleek blijkbaar aantrekkelijk voor een of meer groepen spammers, aangezien SpamHaus aanzienlijk spamverkeer teruggreep naar CyberBunker. Ze hebben CyberBunker op de zwarte lijst gezet en daarmee die spammers afgesloten van bijna twee miljoen inboxen. Als vergelding lanceerde CyberBunker wat de grootste cyberaanval ooit wordt genoemd.
Amplified Attack
CyberBunker probeerde SpamHause af te sluiten met een serieuze DDoS-aanval (Distributed Denial of Service). SpamHaus nam contact op met webbeschermingsbedrijf CloudFlare voor hulp. CloudFlare bepaalde dat de aanvallers een techniek genaamd DNS-reflectie gebruikten om overweldigende hoeveelheden webverkeer op de servers van SpamHaus te genereren.
Het domeinnaamsysteem is een essentieel onderdeel van internet. DNS-servers vertalen door mensen leesbare domeinnamen zoals www.pcmag.com in IP-adressen zoals 208.47.254.73. DNS-servers zijn overal en hun beveiligingsniveau varieert. In DNS-reflectie stuurt de aanvaller veel onzekere DNS-resolvers een klein DNS-verzoek dat een groot antwoord genereert en het retouradres vervalst naar dat van het slachtoffer.
CloudFlare meldde vorige week in een blogpost dat er meer dan 30.000 DNS-resolvers bij betrokken waren. Elk verzoek van 36 bytes genereerde ongeveer 3.000 bytes aan respons, waardoor de aanval 100 keer werd versterkt. Op het hoogtepunt had de aanval SpamHaus gehavend met tot 90 Gbps aan irrelevante netwerkverzoeken, waardoor de servers van SpamHaus overbelast raakten.
Bijkomende schade
CloudFlare slaagde erin de aanval te verminderen met behulp van een technologie die zij AnyCast noemen. In het kort, alle wereldwijde datacenters van CloudFlare kondigen hetzelfde IP-adres aan en een load-balancing algoritme stuurt alle inkomende aanvragen naar het dichtstbijzijnde datacenter. Dit verdunt de aanval effectief en zorgt ervoor dat CloudFlare blokkeert dat aanvalspakketten het slachtoffer bereiken.
Dat was echter niet het einde. Volgens de New York Times richtten de aanvallers hun blik direct op CloudFlare, als vergelding. The Times citeerde CloudFlare CEO Matthew Prince en zei: "Deze dingen zijn in wezen net als nucleaire bommen. Het is zo gemakkelijk om zoveel schade aan te richten." Het artikel merkte ook op dat miljoenen gebruikers tijdelijk niet in staat waren om bepaalde websites te bereiken vanwege de aanhoudende aanval, waarbij met name Netflix als voorbeeld werd genoemd.
CloudFlare heeft deze uitgebreide schade vandaag in een nieuwe functie verder uitgewerkt. Eerst gingen de aanvallers direct achter SpamHaus aan. Vervolgens richtten zij hun aanval op CloudFlare. Toen dat niet werkte, hebben ze de aanval stroomopwaarts verplaatst naar 'providers van wie CloudFlare bandbreedte koopt'.
CloudFlare's post verklaarde: "De uitdaging met aanvallen op deze schaal is dat ze het risico lopen de systemen die het internet zelf met elkaar verbinden te overweldigen." En inderdaad, deze geëscaleerde aanval op top-bandbreedte providers veroorzaakte aanzienlijke connectiviteitsproblemen voor sommige gebruikers, vooral in Europa.
Verstopt zich niet
Volgens de Times nam een woordvoerder van CyberBunker de eer voor de aanval en zei: "Niemand heeft Spamhaus ooit deputeren om te bepalen wat wel en niet op internet gaat.
De CyberBunker-website heeft andere run-ins met toezichthouders en wetshandhavers. Op de geschiedenispagina staat: "de Nederlandse autoriteiten en de politie hebben verschillende pogingen gedaan om de bunker met geweld binnen te komen. Geen van deze pogingen was succesvol."
Het is vermeldenswaard dat SpamHaus eigenlijk niet "bepaalt wat er op internet gebeurt". Zoals de FAQ van het bedrijf aangeeft, kunnen e-mailproviders die zich abonneren op de zwarte lijsten van SpamHaus e-mail blokkeren die afkomstig is van adressen op de zwarte lijst; dat is alles.
Bescherming is mogelijk
Gelukkig is er een manier om dit soort aanvallen te beëindigen. De Internet Engineering Task Force heeft een Best Current Practice-analyse (BCP-38) gepubliceerd waarin wordt beschreven hoe providers IP-bronadresspoofing kunnen voorkomen en daarmee aanvallen zoals DNS-reflectie kunnen verslaan.
CloudFlare houdt zich bezig met een beetje "naam en schaamte" -tactiek en publiceert de namen van de providers met het grootste aantal onbeveiligde DNS-servers. Volgens een CloudFlare-blogpost daalde het aantal open DNS-resolvers na vier maanden met 30 procent. Het Open Resolver-project bevat 25 miljoen onzekere resolvers. Helaas, zoals CloudFlare in de post opmerkt, "hebben de slechteriken de lijst met open resolvers en worden ze steeds brutaler in de aanvallen die ze willen lanceren."
Het DNS-systeem is absoluut essentieel voor het functioneren van internet; het heeft de beste bescherming nodig die we het kunnen geven. Meer providers moeten de beveiligingslekken dichten die dit soort aanvallen mogelijk maken. Een van de gestelde doelen van CloudFlare is "van DDoS iets maken waarover je alleen in de geschiedenisboeken leest". We kunnen hopen!
