De grootste DDoS-aanval niet breken het internet, maar het deed te proberen

CloudFlare heeft beweerd de grootste distributed denial-of-service (DDoS) aanval in de geschiedenis van het internet te hebben verzacht.

Spamhaus, een not-for-profit anti-spam organisatie, kwam naar CloudFlare vorige week voor hulp tegen een grote DDoS aanvallen ervoer. Over te schakelen naar het netwerk CloudFlare’s op 19 maart, de aanval begon met een 10Gbps vloed van het verkeer, ramping up van meer dan 100Gbps later die avond. Het duurde aanvankelijk website Spamhaus ‘down, met de uitval onafhankelijk geobserveerd door het Internet Storm Center op het moment.

Volgens CloudFlare, werd het grootste deel van de aanval verkeer verzonden met een techniek genaamd DNS (Domain Name System) reflectie. Onder normale omstandigheden, DNS resolvers wachten op een verzoek van de gebruiker, zoals een lookup voor het IP-adres van een domeinnaam, dan reageren.

Het probleem met dit systeem is dat de bron adres van dergelijke verzoeken gemakkelijk kan worden gesmeed, en het ontbreken van enige controle of verificatie, de DNS resolver antwoordt gewoon om de bron IP adres. Hoewel dit een eenvoudige manier “stuiteren” een verzoek uit een andere server, maar heeft ook het extra voordeel van het amplificeren van de schade die een aanvaller kan doen, als het antwoord verzonden vanaf de DNS resolver vaak vele malen groter dan de vraag.

Het beperken van DNS resolver reacties op bekende IP-adressen is een manier om te bepalen wie wel of niet een potentieel doelwit zijn, maar veel DNS resolvers gewoon niet op deze manier geconfigureerd – of, zoals bij Google Public DNS-service, zijn bedoeld open te zijn het publiek.

Om te verzachten tegen misbruik, een algemeen aanvaarde praktijk om reacties te wurgen, dat is wat Google momenteel doet. Maar volgens CloudFlare, de aanvallers gebruikte meerdere DNS resolvers om de belasting over vele doelen te verspreiden, stop elke throttling zich voordoet, en vliegen onder de radar van de veiligheidsmaatregelen. Volgens het bedrijf, het in eerste instantie opgenomen meer dan 30.000 DNS resolvers die werden misleid in deel te nemen aan de aanval.

CloudFlare strategie om te reageren op een dergelijke gedistribueerde aanvallen is vergelijkbaar. DDoS-aanvallen zijn meestal succesvol, als een enkel doel is niet in staat om te gaan met het gecombineerde effect van meerdere inkomend verkeer streams, zodat CloudFlare’s reactie is om meer “targets”, elke staat de behandeling van een kleiner deel van het verkeer te creëren. Het duurde het verkeer en verdeel het in 23 van zijn eigen datacenters, terwijl ook het dumpen alle verzoeken wist nep te zijn.

Het realiseren van hun aanval werkte niet, de aanvallers veranderde tactiek, het omzeilen van CloudFlare volledig door de aanval te bewegen upstream leveranciers CloudFlare’s, die op zijn beurt het verkeer verder omhoog geduwd om nog grotere netwerken – in simplistische termen, die de verbindingen van en naar grote ISP’s die het mogelijk maken landen met elkaar te praten.

Volgens CloudFlare, de aanval op deze netwerken was dan 300Gbps en verdere aanvallen “risico overweldigend de systemen die aan elkaar koppelen internet zelf”, verwijzend naar de internet exchanges (iXS) dat vele high-ISP’s gebruiken om elke praten andere.

De grootste routers die je kunt kopen, hooguit 100Gbps poorten. Het is mogelijk om meer dan één van deze interfaces aan elkaar te hechten capaciteit die groter is dan 100Gbps maken, maar op een gegeven moment zijn er grenzen aan hoe deze routers aankan. Als die grens wordt overschreden, wordt het netwerk wordt overbelast en vertraagt, “het bedrijf schreef.

Ondanks toe te geven dat het geen “direct inzicht in de verkeersbelastingen” dat Tier 1 netwerken zien, CloudFlare zei: “we hebben congestie gezien over een aantal belangrijke tier degenen, voornamelijk in Europa, waar de meeste aanvallen werden geconcentreerd, die zou hebben gehad voor honderden miljoenen mensen, zelfs als ze gesurfd websites die niets met Spamhaus of CloudFlare. als het internet voelde een beetje trager voor u de afgelopen dagen in Europa, kan dit deel van de reden waarom zijn.

Sophos Asia-Pacific directeur Rob Forsyth eens met de beoordeling van de gevolgen voor het Europese netwerk CloudFlare’s, vertellen de website dat Europa is het ervaren van heel wat onderbreking van zijn gebruikelijke doorstroming van het verkeer, afhankelijk van wat gebruikers doen. Echter, niet eens dat hij met elke notie dat de wereldwijde internet als geheel werd beïnvloed.

Veiligheid, Re-thinking veiligheid fundamentals: Hoe verder te gaan dan de FUD; Innovatie; M2M-markt stuitert terug in Brazilië, veiligheid, FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om te werken? nu om kritieke gaten in de beveiliging op te lossen

bewegende upstream

“Mensen kunnen opmerken streaming zou worden verstoord in Europa, maar dingen zoals de levering van e-mail en het verkeer van databestanden en ga zo maar door is niet het soort ding dat gaat worden onderbroken in grote mate,” zei hij.

Het probleem, voorlopig, wordt beperkt tot Europa.

Zoals voor Australië, Forsyth zei dat er “geen merkbare vermindering van de capaciteit internet”, wat aangeeft dat de aanval is niet een die “bijna brak het internet”.

Het internet is ontworpen veerkrachtig te zijn, en ik denk dat internet verkeer zal rond elke vorm van verstoring worden gerouteerd.

DNSSEC

Wat betreft de punten CloudFlare dat de grootste routers niet kunnen schalen naar de hoeveelheid verkeer te ondersteunen, sommige eigen producten Cisco’s lijken meer dan overschrijdt de vereiste capaciteit. De multi-shelf versie van Cisco CRS-1 (Carrier Routing System) router, bijvoorbeeld, kan aan schaal 92Tbps. Cisco niet vragen de site terugkeren of deze geschikt zijn voor deze toepassing zou zijn, maar het blijkt dat veel IXS de 300Gbps aankan van het verkeer met hun bestaande of minimale upgrades van hun infrastructuur.

Om er een paar IXS ter vergelijking benadrukken, Amsterdam IX AMS-IX had piek jaarlijks verkeersvolume van ongeveer 2.2Tbps in het afgelopen jaar, Zweden IX Netnod had piek jaarlijks verkeersvolume van ongeveer 340Gbps, en Moskou IX MSK-IX had piek jaarlijkse trafiek van ongeveer 1Tbps .

Hoewel een security initiatief gericht op het maken van DNS veiliger bestaat – DNSSEC – het hoeft niet per se het probleem van vervalste bron adressen. DNS verzoeken en antwoorden gebruiken meestal de UDP-protocol, in plaats van de TCP protocol. Dit laatste vraagt ​​om een ​​three-way handshake om een ​​kanaal te stellen en bevestig met de machine is in gesprek met die het deed, in feite, initiëren van een verbinding. Eerstgenoemde echter niet.

In plaats van een probleem dat DNSSEC kan oplossen, het is eigenlijk een transportprotocol probleem dat weinig te maken met de extra veiligheidsmaatregelen die DNSSEC kan bieden heeft. Zoals Cloudflare en anderen die in het verleden hebben opgemerkt, DNSSEC kan het probleem erger, omdat de extra toetsen gegevens bijhouden verdere verificatie verhoogt de grootte van amplificatie dat een aanvaller toegang heeft.

Toch Forsyth zei dat dergelijke aanvallen een zilveren randje kan hebben, het verhogen van het bewustzijn van de gebreken in DNS en het belang van DNSSEC’s.

“DNSSEC verscherpt de regels rond de manier waarop de Domain Name Service gedraagt ​​zich en zorgt voor een extra laag van beveiliging, zodat, als je de veiligheid te verhogen op een onderdeel, misschien wel de cybercriminelen zal zich richten op een zwakkere koppeling ergens anders,” zei hij.

Dit kan de katalysator tot alle aspecten van veiligheid, waaronder DNSSEC herzien.

Re-thinking veiligheid fundamentals: Hoe verder te gaan dan de FUD

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen