Как една DDoS атака спря интернет

Петък сутрин е обичайно време за четене на новини, туитване и като цяло браузване в интернет, но не и сутринта на 21 октомври, поне не и в САЩ.

Точно тогава започва мащабна кибер атака, която води до проблеми с интернет връзката на три пъти през деня за потребителите на Spotify, Reddit, The New York Times, CNN, Foxnews, услуги като Netflix и HBO Now, магазина Amazon, услугата за раплащане PayPal и още десетки други сайтове. А за всичко това можете да благодарите на "разпределена атака за отказ на услуга" (distributed-denial-of-service attack, DDoS), която успява да повали голяма част от интернета за повечето хора в Източното крайбрежие на САЩ, а в последствие и в Западното и в някои части на Западна Европа.

Напълно възможно е умната ви пералня да е помогнала за атаката

Първата атака започва около 7 сутринта на Източния бряг (2 часа следобед българско време) и е насочена към Dyn - компания за интернет инфраструктура, чието седалище е в Ню Хампшър. Атаката продължава около 2 часа. Сървърите на компанията са атакувани втори път малко преди обед. Dyn съобщават и за трета вълна от атаки малко след 4 следобед (11 вечерта българско време).

И в трите случая трафикът към сървърите на Dyn е блокиран от лавина от зловредни заявки от десетки милиона IP адреса. От компанията описват събитията като "много сложна и всеобща атака".

Във всеки случай това е тежко напомняне за това колко чуплива е мрежата и колко способни са силите, които опитват да я саботират.

Откъсването на телефонния указател.

Dyn предлага Domain Name System (DNS) услуги, които на практика представляват телефонния указател на интернет. DNS е система, която преобразува уеб адресите, които виждаме всеки ден, като http://webcafe.bg, в нужните IP адреси, чрез които браузърът успява да намери и да се свърже с правилните сървъри и да ви представи заявеното съдържание, като текста, който четете сега.

DDos атака залива DNS сървъра с толкова много заявки за информация, че в резултат той не е способен да отговори на нито една от тях. Това и прави атаката на DNS сървъри толкова ефективна - вместо, както често се случва, заявките да бъдат насочени към конкретен сайт, "хакерът" може да спре достъпа до целия интернет за всеки краен потребител, чиито DNS заявки минават през конкретен сървър.

"DNS регистрите обикновенно покриват десетки хиляди домейн имена и затова ако има нещо, което да наруши работата им, косвените щети са в огромни мащаби" обяснява Роланд Добинс, главен инжинер в Арбор Нетуъркс, фирма, специализирала се в защита от DDoS атаки.

Допълнителен "ефект" от подобна атака над DNS сървърите се получава и от факта, че системата трябва да се справи не само с зловредния трафик, но и с опитите на браузърите все пак да достъпят сайтовете, както и със самите потребители, които натискат постоянно рефреш, опитвайки се да достигнат сайта, който им е необходим.

С продължаващите атаки към Dyn мащабът на проблема започва да се изяснява. Ако трябва да сме точни - очевидно е, че той е много, много голям.

"Няма нищо ново относно този тип DDoS атаки. Свидетели сме на тях от три години насам и знаем, че е трудно да бъдат спрени", казва Матю Принс, CEO на компанията за интернет инфраструктура Cloudflare.

"Често се случват такива атаки на Dyn, често се случват и при нас, но съдейки по проблемите, които те създават в този случай, това ще е изключително голяма атака". Принс добавя, че Cloudflare също забелязва "покачване на грешките" при собствената си мрежа, но не защото е атакувана, а като последствение на проблемите при Dyn.

Достъпът до десетки сайтове и услуги е затруднен от атаката, но потребители в някои региони на Азия се оказва, че имат по-малко проблеми с достъпа до същите сайтове, отколкото тези в Щатите.

Макар и топологията на интернет да не кореспондира директно с географията, тя частично я наподобява, обяснява Добинс. Понеже атаката е била на сървърите на Dyn на Източното краебрежие, това е предизвикало и сравнително локални щети.

И какво общо има пералнята

Цялостната картинка все още не е особено ясна, но с приключването на деня на Източното крайбрежие пристигат още данни. Първоначалната информация индикира, че атаката е част от поджанр на DDoS атаките, който инфектира IoT устройства по цял свят - умни уебкамери, рутери, перални, климатици и дори бейби монитори. Веднъж заразени, тези свързани с интернет устройства се причисляват към "ботнет" армия, която съсредоточава трафик към мишена.

Кодът на една от по-известните от тези мрежи или ботнет армия - наречена Mirai, наскоро беше пуснат в общественото пространство и породи спекулации, че това ще предизвика още повече DDoS атаки, базирани на Mirai.

От Dyn съобщиха към края на деня, че фирмата за сигурност Flashpoint и доставчикът на облачни услуги Akamai са засекли, че ботове Mirai са отговорни за много, но не и непременно за целия трафик, с който е осъществена атаката.

Интересното е, че има и потенциален мотив да се използва Mirai базиран хак срещу Dyn, или поне известна ирония от това. Само ден по-рано главният дейта анализатор на компанията Крис Бейкър публикува текст точно за Internet of Things базирани атаки и влиянието им върху DNS сървърите в блога на Dyn.

Междувременно WikiLeaks публикуваха поредица от странни туитове, един от които гласи: "Г-н Асандж (създателят на WikiLeaks бел. ред.) е все още жив и WikiLeaks продължава да работи. Молим хората, които ни подкрепят да спрат да смъкват американския интернет. Доказахте това, което искахте".

На практика те твърдят, че причината за атаката е отмъщение на техни подръжници след по-ранен туит, в който се казва, че добре въоръжена полиция е пред посолството на Еквадор в Лондон, където Джулиан Асандж е под политическо убежище.

Атаката обаче е определена като предварително планирана и някои отричат възможност тя да има нещо общо с по-ранната случка в Лондон.

В един малко по-забавен сценарий, който по-скоро на шега се разпространява в Туитър, DDoS атаката е иновативен начин да се рекламира пуснатият вчера по Netflix трети сезон на "Black Mirror", британски минисериал, който представя поредица от ситуации, в които ставаме твърде зависими от технологиите.

#2 sbonkov 22.10.2016 в 22:32:28

Проблемът е че всеки втори стана ИТ експерт и започна да монтира ДВР-и с пароли 12345. Да настройва рутери и да отваря портове поголовно и т.н. После други хора се чудят как да им филтрират свинщините.

Новините

Най-четените