Hovoří se o největším DDoS útoku v historii internetu. Už několik týdnů se valí stovky gigabitů uměle generovaného provozu, který zahlcuje linky a blokuje provoz. Na rozdíl od nedávných českých útoků je známý cíl, zdroj, původce i důvod. Cílem je server Spamhaus, který je trnem v oku mnoha poskytovatelům a spammerům.
Spamhaus je nezisková organizace sídlící v Londýně a Ženevě, která pomáhá provozovatelům e-mailových serverů. Vytváří seznamy společností, které poskytují připojení spammerům a nemají v plánu s tím nic dělat. Tyto firmy mají pro své zákazníky nastavené velmi volné podmínky a vydělávají na postoji mrtvého brouka.
Počátky útoku
Poprvé byl útok zaznamenán v pondělí 18. března, jeho velikost dosahovala 10 Gbps a pocházel především z DNS serverů, které fungovaly jako zesilovače. V tu dobu Spamhaus kontaktoval společnost CloudFlare, která provozuje celosvětovou datovou distribuční síť. Ta pomohla nápor DDoS útoku zachytit a zvládnout.
Následující den, v úterý 19. března, se útok zintenzivnil a dosáhl 90 Gbps. Poté intenzita toku kolísala mezi 90 a 30 Gbps a ve čtvrtek ustala úplně. V pátek v podvečer však přišel DDoS s novou silou a zasáhl servery tokem 120 Gbps. Díky anycastové síti CloudFlare nebyl ale Spamhaus přímo zasažen a jeho web fungoval dál.
Šlo o největší DDoS útok, jaký jsme doposud viděli,
píší na blogu lidé z CloudFlare. Pak ale útočníci změnili taktiku, protože jim bylo jasné, že takto se jim pevnost dobýt nepodaří a Spamhaus neodstaví. Přestali tedy útočit přímo na síť a začali zahlcovat poskytovatele připojení, od kterých nakupuje CloudFlare konektivitu a peeringová centra (LINX, AMS-IX, DE-CIX a další), do kterých je připojen.
Povaha anycastové sítě totiž neumožňuje přímo zaútočit na jeden cílový bod. Takový útok se automaticky rozprostře po celém světě na mnoho různých serverů, které velký tok dohromady zvládnou. Útočníci se tedy začali soustředit na routery, které jsou po cestě jeden krok před servery CloudFlare. To nemůže způsobit výpadek celé sítě, ale může dojít k problémům v určitých regionech,
tvrdí CloudFlare.
Aby bylo možné zahltit takto velkého poskytovatele připojení či peeringové centrum, jsou potřeba podstatně vyšší datové toky. Nevidíme přímo do jejich datových toků, ale jeden Tier 1 poskytovatel nám potvrdil, že v souvislosti s tímto útokem zaznamenal tok přesahující 300 Gbps,
píše CloudFlare. Tier 1 poskytovatelé tvoří jádro internetu a vzájemně si za datové toky neplatí. Pokud všechno ostatní selže, oni zajistí propojení celého internetu,
vysvětluje blog CloudFlare.
Proč je to problém?
Takto velké datové toky už mohou výrazně ovlivnit celou síť. I ti největší Tier 1 poskytovatelé už zaznamenají na některých místech problémy. Největší routery, které můžete koupit, mají 100Gbps porty. Ty sice můžete sdružit, ale i tak narazíte na výkonnostní limity samotných routerů,
vysvětluje Matthew Prince z CloudFlare. Pokud je síť ucpaná příliš velkým množstvím požadavků, začne zpomalovat a je nespolehlivá.
Matthew Prince potvrzuje, že zejména v Evropě je možné takové problémy pozorovat. V posledních dnech jsme podobné zácpy zaznamenali u velkých Tier 1 poskytovatelů, především v Evropě, kde se útok koncentruje. To už přímo ovlivnilo stovky milionů uživatelů, kteří neměli se Spamhausem ani CloudFlare nic společného,
vysvětluje Prince.
Vedle sítí Tier 1 poskytovatelů byla přímo zasažena i peeringová centra LINX, AMS-IX, DE-CIX a hongkongský HKIX. Největší problémy zaznamenal londýnský LINX a pokles toků je zřetelně viditelný na grafu zobrazujícím vytížení spojů do okolních sítí.
Propad v londýnském peeringovém centru LINX
CloudFlare se podle svých slov snaží celému útoku čelit ve spolupráci právě s peeringovými centry. K tomu je potřeba, aby IP adresy cílových strojů nebyly oznamovány v routovacích tabulkách pro veřejný internet a zároveň je na ně povolen příchozí provoz jen ze sítí jiných peeringových center. Byli jsme překvapení, jak LINX rychle zareagoval a zavedl nová pravidla. Doufáme, že se k nim ostatní přidají,
dodává Matthew Prince.
Kdo za tím stojí?
Na rozdíl od nedávných českých útoků víme poměrně přesně, kdo za snahou vyřadit Spamhaus stojí. Jde o nizozemskou společnost CyberBunker, která nabízí web hosting a garantuje prostor veškerému obsahu kromě dětské pornografie a materiálu souvisejících s terorismem. Jejími klienty byli v minulosti například provozovatelé WikiLeaks či The Pirate Bay. Právě tato společnost se nedávno dostala na seznam, který provozuje Spamhaus.
K útokům se přihlásil Sven Olaf Kamphuis, který se prohlašuje za mluvčího CyberBunkeru. Ve své zprávě uvedl, že Spamhaus zneužívá své pozice a rozhoduje o tom, co „bude a nebude na internetu“. Samotný Spamhaus se také domnívá, že za rozsáhlým útokem stojí CyberBunker společně se „zločineckými gangy z východní Evropy a Ruska“.
Samotný CyberBunker se nechce k věci příliš vyjadřovat a prostřednictvím svého mluvčího Jordana Robsona jen vzkázal: Jediné, co k tomu chceme říct je, že jsme ani my ani naši klienti nikdy neodeslali žádný spam. Víc k tomu nemáme co říct.
Může takový útok zpomalit internet?
Jde o opravdu velké datové toky, což potvrzuje i šéf společnosti Arbor Networks, která se specializuje na ochranu před podobnými DDoS útoky. Největší DDoS, který jsme doposud viděli, se odehrál v roce 2010 a měl velikost 100 Gbps. Skok ze 100 na 300 je ohromný,
říká Dan Holden.
Pravděpodobně tedy jde o DDoS s největším tokem, jaký byl kdy zaznamenán. Otázkou zůstává, zda a jak moc může takový útok ovlivnit internet jako celek. Rozhodně existuje možnost poškození dalších služeb po cestě. Záleží ale na tom, jak vypadá celá infrastruktura,
říká Holden.
Profesor Alan Woodward z University of Surrey pro BBC potvrdil, že tento útok působí výrazně větší škody než je obvyklé. Pokud si internet představíme jako dálnici, útočníci se ji snaží zahltit dopravou a ucpat nájezdy a sjezdy. V případě tohoto útoku je generován takový provoz, že dojde k ucpání samotné dálnice,
vysvětlil Woodward. Podle jeho slov tento DDoS zasahuje služby po celém světě.
Později ale Woodward svá tvrzení zmírnil. Když útočíte na 10Gbps switch, stačí na něj poslat 11 Gbps a zahltíte ho. Pokud to je 300 Gbit, může to ovlivnit hlavní infrastrukturu. Nejsem si ale jistý, do jaké míry ji to skutečně ovlivňuje.
Nemyslím si, že by tyto útoky měly nějaký bezprostřední vliv na internet, ale je to varování,
dodal Woodward. Je nepraktické zničit celý internet. Ale můžete ovlivňovat jeho konkrétní části.
S tím, jak jsou podobné útoky čím dál dostupnější, se s nimi budeme pravděpodobně setkávat častěji a rekordních 300 Gbps může být velmi rychle překonáno.
Aktualizace: Jde o promyšlené PR?
Okolo celého případu se začínají objevovat pochybnosti. Gizmodo přímo píše, že je celá kauza falešná a Guardian se ptá, zda nejde jen o dobře promyšlené PR. Pokud by to byla pravda, pak naletěla BBC, The New York Times a další světová média, která o „největším internetovém útoku informovala“.
Podezřelé na celé věci je především to, že žádná společnost dodávající obsah nepozorovala na síti žádné problémy. Ani Amazon, ani Netflix si nevšimly ničeho neobvyklého, což by bylo v případě „obrovského globálního útoku“ nemožné. Gizmodo tedy nakonec celou věc uzavírá s tím, že šlo pravděpodobně o chytrou aktivitu společnosti CloudFlare, která má za úkol vyvolat obavy a posílit její podnikání.
Někteří velcí operátoři sice potvrzují masivní datový tok směřující na konkrétní stroje Spamhausu v Holandsku, ale podle jejich vyjádření takový DDoS dokáže ochromit třeba malého poskytovatele nebo hostingové centrum, ale už těžko dokáže zamávat s celým internetem. Problémy tak byly omezeny prakticky jen na Nizozemí a nedotkly se zbytku světa.
Že takový tok nestačí na zpomalení či ohrožení internetu, potvrzuje ve svém blog postu i Ondřej Filip z CZ.NIC: Intenzita útoku byla skutečně mimořádně velká, hovoří se o cca 300 Gbps provozu generovaného pomocí DNS amplification útoku. To skutečně není málo, a nesnese to samozřejmě vůbec srovnání s útoky, které se nedávno udály u nás. Ale je to dost na zpomalení internetu? Odpovědí může být například pohled na tuto tabulku, která ukazuje, kolik běžně proudí největšími peeringovými uzly. Když sečtete špičkové toky alespoň dvaceti největších z nich (mezi které mimochodem patří i český NIX.CZ), dostanete se bohatě nad 10 000 Gbps (= 10 Tbps). A to pochopitelně zdaleka nereprezentuje veškeré toky internetu. Jinými slovy, navýšení celkového toku internetu bylo sotva v řádu pár procent. Uvědomme si, že nějaké globálně sledované události, jako třeba olympiády, v poslední době vygenerují toků mnohem více. Mohlo tedy dojít k významnému vlivu na rychlost globálního internetu? Rozhodně ne!
Daniel Dočekal na Lupě uzavírá svůj článek slovy: V celém to zmatku je jisté snad jenom to, že Spamhaus a Cyberbunker jsou nepřátelé doslova na život a na smrt. A že není nejisté, na čí straně vlastně stojí Cloudflare. Což je nakonec hlavně firma, která si na celé kauze přihřála vlastním PR.
