Video: Эдвард Сноуден: Вот так мы отвоёвываем Интернет (November 2024)
Gewoon een blip?
Keynote Systems bewaakt constant de responstijd van 40 "belangrijke Amerikaanse zakelijke websites", waarmee contact wordt gemaakt vanuit een aantal belangrijke locaties over de hele wereld. De gemiddelde responstijd varieert, maar blijft ongeveer binnen hetzelfde bereik. En de Keynote Performance Index vertoont slechts een milde "blip" tijdens de aanval.
Keynote-expert Aaron Rudger zei: "De cijfers liegen niet - en dat is een feit." Verwijzend naar een grafiek van de prestaties gedurende de afgelopen vier weken, merkte hij op dat "de Europese agenten tijdens het DDoS-evenement vrij consistente en normale prestaties rapporteren. Er is echter een kleine waarschuwing die opduikt."
"We zien wel, " zei Rudger, "dat de Europese agenten op 26 maart tussen 8.30 en 14.30 uur (PST) op 26 maart tragere responstijden ondervonden - tot 40% langzamer dan gemiddeld. Het is mogelijk dat de Spamhaus-aanval kunnen te maken hebben met deze vertraging, maar we weten het niet zeker. " Rudger merkte op dat duizenden mensen die de grote voetbalwedstrijd streamden die tegelijkertijd plaatsvond, de vertraging konden verklaren. "Hij verwerpt de bewering dat de aanval dagen van verstoring veroorzaakte en zei:" We zien gewoon niet uit onze gegevens."
Gewoon een hype?
In een uitgebreid blogbericht gaat Gizmodo Sam Biddle een stap verder en beschuldigt CloudFlare ervan het probleem voor hun eigen voordeel te overdrijven. CloudFlare, zegt Biddle, is "verantwoordelijk voor het torenhoge internetweerbericht, de partij die er direct van profiteert dat u zich zorgen maakt dat het internet zoals wij dat kennen belegerd is".
Het artikel van Biddle toont grafieken van onafhankelijke bronnen (vergelijkbaar met Keynote) die geen pieken in het verkeer of onderbrekingen in de responstijd laten zien. Een rapport van Amazon over de hosting van Netflix liet tijdens de week nul uitval zien. Een woordvoerder van NTT, "een van de backbone-exploitanten van internet", verklaarde dat hoewel een 300 Gbps-aanval enorm is, de meeste regio's capaciteiten in het Tbps-bereik hebben, en concludeert: "Ik sta aan je zijde met de vraag of dit het wereldwijde internet deed schudden".
Biddle concludeert dat CloudFlare "de internetbewoners bang probeerde te maken omdat ze dachten dat zij de inwoners van Dresden waren om zo zaken te doen". "Als je product echt de moeite waard is, " zei Biddle, "dan zou je niet tegen internet moeten liegen om het te verkopen." Sterke woorden inderdaad.
Licht werpen op het probleem
Adam Wosotowsky, Messaging Data Architect bij McAfee Labs, heeft zin om CloudFlare wat speling te bezorgen. Zelfs als ze de situatie overhypten, "kan het geen kwaad". Hij wijst erop dat het onder de aandacht brengen van het probleem kan helpen "minder voorbereide sites die niet klaar zijn voor dit soort situaties, simpelweg omdat ze niet de hele dag in Hornets nesten prikken". Verkondiging betekent dat bedrijven "er baat bij kunnen hebben dat hun probleem niet uniek is en dat er bedrijven zijn die gespecialiseerd zijn in het helpen voorkomen van aanvallen."
Wat de gerapporteerde vertraging betreft, bevestigde Wosotowsky dat McAfee sommige websites "aanzienlijk getroffen" vond. Hij merkte op dat vanwege de omvang van de aanval deze "tangentiële diensten die op een bepaald punt op hun pad liggen en dezelfde bandbreedte gebruiken" goed kan beïnvloeden.
"Het feit dat een kolossale freak-out niet gerechtvaardigd is, " zei Wosotowsky, "doet niets af aan het belang van de analyse… Vanuit het perspectief van het uitroeien van veilige havens voor malware-auteurs en botmasters is het verhaal inderdaad waardig."
Geld en macht
Het Global Research & Analysis Team van Kaspersky Lab twijfelde niet aan de ernst van de aanval en merkte op dat "de datastroom die door een dergelijke aanval wordt gegenereerd, intermediaire netwerkknooppunten kan beïnvloeden wanneer deze deze passeert, waardoor de werking van normale webservices wordt gehinderd die hebben geen relatie met Spamhaus of Cyberbunker. " Ze merkten verder op dat "DDoS-aanvallen van dit type groeien in termen van kwantiteit en schaal."
Waarom deze toename? Het team constateerde twee belangrijke (en soms overlappende) motivaties. "Cybercriminelen voeren DDoS-aanvallen uit om bedrijven te verstoren in een poging geld van hen af te persen, " zei het team. Ze kunnen ook "DDoS-aanvallen als een wapen om organisaties of bedrijven te verstoren bij het nastreven van hun eigen ideologische, politieke of persoonlijke belangen." Hoe dan ook, enorme DDoS-aanvallen zoals deze kunnen de service verstoren voor meer dan alleen het doelwit van de aanval.
Let op!
De CyberBunker-aanval maakte gebruik van DNS-reflectie, een techniek waarmee ze een klein datapakket kunnen verzenden dat op zijn beurt ervoor zorgt dat een DNS-server een veel groter pakket naar het doel spuwt. In feite versterkt het de aanval honderdvoudig. Ja, er zijn andere manieren om een DDoS-aanval te implementeren, maar dit is de BFG9000 van het stel. DNS-reflectie onmogelijk maken zou een goede zaak zijn.
Het Open DNS Resolver Project geeft een lijst weer van meer dan 25 miljoen servers waarvan hun tests aantonen dat ze "een significante bedreiging vormen". IT jongens, let op! Staan de DNS-servers van uw bedrijf op die lijst? Doe een beetje onderzoek en beveilig ze tegen aanvallen zoals IP-adres spoofing. We zullen je allemaal bedanken.