Видео: Tracking a Fake Tech Support Scammer's IP address!! (Октября 2024)
CyberBunker работает из выведенного из эксплуатации бункера НАТО; отсюда и название. Компания утверждает, что «единственный истинный независимый хостинг-провайдер в мире» и позволяет клиентам анонимно хосту «любой контент, который они любят, кроме детской порнографии и все, что связано с терроризмом.»
Это обещание оказалось привлекательным для одной или нескольких групп спамеров, поскольку SpamHaus отслеживал значительный спам-трафик обратно в CyberBunker. Они занесли в черный список CyberBunker и таким образом отрезали тех спамеров от почти двух миллионов входящих. В отместку CyberBunker запустил так называемую крупнейшую кибератаку за всю историю.
Усиленная атака
CyberBunker попытался закрыть SpamHause с помощью серьезной атаки DDoS (распределенный отказ в обслуживании). SpamHaus обратился за помощью в компанию по защите веб-сайтов CloudFlare. CloudFlare определил, что злоумышленники использовали технику, называемую отражением DNS, для генерации огромного количества веб-трафика на серверах SpamHaus.
Система доменных имен является важным компонентом Интернета. DNS-серверы преобразуют понятные человеку доменные имена, например www.pcmag.com, в IP-адреса, например 208.47.254.73. DNS-серверы есть везде, и их уровень безопасности варьируется. В DNS-отражении злоумышленник отправляет многим незащищенным DNS-распознавателям небольшой DNS-запрос, который генерирует большой ответ, подменяя обратный адрес на адрес жертвы.
В сообщении блога на прошлой неделе CloudFlare сообщило, что было задействовано более 30 000 DNS-распознавателей. Каждый 36-байтовый запрос генерировал около 3000 байтов ответа, усиливая атаку в 100 раз. На своем пике атака разгромила SpamHaus до 90 Гбит / с нерелевантных сетевых запросов, перегружая серверы SpamHaus.
Сопутствующий ущерб
CloudFlare удалось смягчить атаку с помощью технологии, которую они называют AnyCast. Вкратце, все центры обработки данных CloudFlare по всему миру объявляют один и тот же IP-адрес, а алгоритм балансировки нагрузки направляет все входящие запросы в ближайший центр обработки данных. Это эффективно ослабляет атаку и позволяет CloudFlare блокировать любые пакеты атаки от попадания к жертве.
Это был не конец, хотя. Согласно New York Times, злоумышленники обратили свой взор прямо на CloudFlare, в ответ. The Times цитирует генерального директора CloudFlare Мэтью Принса, который сказал: «Эти вещи, по сути, похожи на атомные бомбы. Так легко нанести такой большой ущерб». В статье также отмечается, что миллионы пользователей оказались временно неспособными получить доступ к определенным веб-сайтам из-за продолжающейся атаки, в частности, упомянув Netflix в качестве примера.
CloudFlare подробно рассказал об этом расширенном повреждении в новом посте сегодня. Во-первых, злоумышленники сразу же пошли за SpamHaus. Затем они сосредоточили свои атаки на CloudFlare. Когда это не сработало, они перенесли атаку вверх по течению на «провайдеров, у которых CloudFlare покупает пропускную способность».
В сообщении CloudFlare говорится: «Проблема атак такого масштаба заключается в том, что они рискуют перегрузить системы, которые связывают воедино сам Интернет». И действительно, эта усиленная атака на провайдеров полосы пропускания верхнего уровня вызвала значительные проблемы с подключением для некоторых пользователей, в основном в Европе.
Не прячется
Согласно «Таймс», представитель CyberBunker взял на себя ответственность за атаку, заявив: «Никто никогда не использовал Spamhaus для определения того, что происходит и что не идет в Интернете. Они заняли эту позицию, притворяясь, что борются со спамом».
Веб-сайт CyberBunker может похвастаться другими столкновениями с регуляторами и правоохранительными органами. На его странице истории говорится, что «голландские власти и полиция предприняли несколько попыток силой войти в бункер. Ни одна из этих попыток не увенчалась успехом».
Стоит отметить, что SpamHaus на самом деле не «определяет, что происходит в Интернете». Как отмечают часто задаваемые вопросы компании, поставщики электронной почты, которые подписываются на черные списки SpamHaus, могут блокировать почту, приходящую с адресов из черного списка; вот и все.
Защита возможна
К счастью, есть способ положить конец этому типу атаки. Инженерная рабочая группа по Интернету опубликовала анализ «Наилучшая текущая практика» (BCP-38), в котором описывается, как провайдеры могут предотвратить подделку IP-адреса источника и таким образом отразить атаки, такие как отражение DNS.
CloudFlare использует несколько тактик «имя и позор», публикуя имена поставщиков с наибольшим количеством незащищенных DNS-серверов. Согласно сообщению в блоге CloudFlare, через четыре месяца число открытых распознавателей DNS сократилось на 30 процентов. В проекте Open Resolver перечислено 25 миллионов небезопасных распознавателей. К сожалению, как отмечается в сообщении CloudFlare, «у плохих парней есть список открытых распознавателей, и они становятся все более наглыми в атаках, которые они готовы запустить».
Система DNS абсолютно необходима для функционирования Интернета; ей нужна лучшая защита, которую мы можем ей дать. Большему количеству провайдеров необходимо закрыть дыры в безопасности, которые допускают такого рода атаки. Одна из заявленных целей CloudFlare - «сделать DDoS тем, о чем вы только читаете в учебниках истории». Мы можем надеяться!
