Update 17/10/2020:
Ataque da China ao Google de 2.54Tbps (em 2017).
Ataque: 600Gbps (a se confirmar):
[ Update - 03/01/2016 ]
Hacktivistas do grupo "New World Hacking" atacaram o site de Donald Trump e o da BBC, utilizando a estrutura da AWS (cloud da Amazon) e alegam ter efetuado ataques de Negação de Serviço superiores a 600Gps:
[ Update - 20/11/2014 ]
Ataque: 500Gbps (a se confirmar):
O governo Chinês é o principal suspeito dos maiores ataques de negação de serviço já registrados na história, com a impressionante marca de 500Gpbs. Sites independentes de notícias de Hong Kong estão sendo alvo de ataques continuados durante os últimos meses, em paralelo aos protestos "Hong Kong Occupy Central" que ocorrem nas ruas da cidade-estado.
Os ataques estão alcançando esta força através da utilização de ataques de reflexão (DRDoS) em milhares de servidores de DNS. Para se ter uma idéia, o número de requisições forjadas de DNS que estão sendo feitas por segundo durante estes ataques chega a 250 milhões - o mesmo valor das requisições válidas feitas por segundo na Internet do mundo todo.
Mais informações:
Ataque: 400Gbps (confirmado):
[ Update - 13/02/2014 ]
Há alguns anos, tive a oportunidade de ser um dos revisores das primeiras versões de um material muito interessante sobre o assunto, chamado "Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos" - criado e mantido pelo CERT.BR (Cristine Hoepers, Klaus Steding-Jessen, Nelson Murilo, Rafael R. Obelheiro): http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
Uma lista de openresolvers de DNS pode ser encontrada em: http://openresolverproject.org/
Hoje em dia ferramentas automatizadas como o "DNS Flooder" possibilitam que ataques deste tipo sejam efetuados com muita facilidade: http://www.prolexic.com/knowledge-center-ddos-threat-advisory-dns-flooder.html
Existem outros protocolos UDP que também são (ou podem) ser utilizados para perpetrar ataques de DRDoS. Uma listagem recente é a seguinte (fonte: Alerta de 17/01/2014 do US-CERT: http://www.us-cert.gov/ncas/alerts/TA14-017A): DNS , NTP ,SNMPv2 ,NetBIOS, SSDP, CharGEN, QOTD, BitTorrent, Kad, Quake, Steam
O número 2 da lista acima (NTP - Network Time Protocol) foi utilizado em um ataque de 400Gb/s DRDoS ocorrido esta semana, que está sendo considerado o maior do mundo.
Detalhes sobre o "maior ataque de Denial of Service da história" no blog da Cloudflare (obrigado ao Anchises pelo link): http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack
Versões do server NTP do ntp.org anteriores a 4.2.7p26 estão vulneráveis e precisam ser corrigidas com urgência: http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using
Advisory recente do US-CERT sobre ataques DDoS utilizando NTP para reflexão: http://www.us-cert.gov/ncas/alerts/TA14-013A
NTP Scanning Project - http://openntpproject.org/
O RIPE/NCC publicou recentemente um artigo do Jonh Christoff do Team Cymru (parceiro da Apura), chamado ""https://labs.ripe.net/Members/mirjam/ntp-reflections
Um relatório interessante sobre o assunto (e correlatos) foi publicado pela Arbor recentemente:
http://www.arbornetworks.com/resources/infrastructure-security-report (Só o infográfico mostrando o tamanho dos ataques em uma linha do tempo pode ser visto em: http://pages.arbornetworks.com/rs/arbor/images/AttackSize_final_white.pdf
[ Update - 28/04/2013 ]
Aproximadamente um mês depois dos ataques, o principal suspeito de orquestar os ataques foi preso na Espanha, enquanto viajava em uma van que servia de "escritório móvel". Trata-se de Olaf Kamphuis, holandês de 35 anos e se auto-entitulou "ministro das telecomunicações e relações exteriores da República de CyberBunker".
[ Post Original - 28/03/2013 ]
A "grande mídia" começou a cobrir com mais frequência incidentes relacionados à cibersegurança, e hoje várias fontes publicaram notícias sobre os efeitos de ataques que foram motivados pela briga entre duas empresas holandesas, a SpamHaus (que mantém listas para bloqueios de spam) e a CyberBunker (cb3rob) que hospeda vários spammers e possui como um de seus clientes a WikiLeaks.
- New York Times: Firm Is Accused of Sending Spam, and Fight Jams Internet
- BBC: Global internet slows after 'biggest attack in history'
- CNN: Massive cyberattack hits Internet users / What you need to know about the world’s biggest DDoS attack
- Washington Post: Ripple effects across Web as spam-blocking group Spamhaus hit by record-smashing cyberattack
Ataques Distribuídos de Negação de Serviço (Distributed Denial of Service - DDOS) são uma realidade - e um problema - na Internet há muito tempo. Eles ocorrem diariamente, mas geralmente não tem um efeito noticiável nas redes e computadores que não são alvos ou origem dos ataques distribuídos. O mais importante é antes de mais nada deixar claro que um ataque de negação de serviço não "invade" os computadores e redes afetados, mas impede que eles se comuniquem, tendo um efeito desastroso na disponibilidade de serviços online.
O ataque não foi o maior ataque já ocorrido na internet (entre outros exageros que foram publicados), mas por ser o maior DDOS já ocorrido, tem importância única e merece destaque. Um outro ponto importante a se cosiderar é que existe uma dificuldade significativa na atribuição de responsabilidade em ataques de negação de distribuídos, especialmente pelo volume de origens utilizadas (usualmente botnets ou farms de servidores em nuvem) e pela possibilidade de se forjar (spoofar) os endereços de origem em certos tipos de ataque (mais informações abaixo). Infelizmente nem todas as redes configuram adequadamente seus equipamentos para evitar este tipo de "falsificação" do endereço de origem.
Este tipo de ataque é também muito utilizado por hacktivistas para protestar contra empresas ou contra o governo (há inclusive uma tentativa de legalizar deste tipo de ataque como protesto nos Estados Unidos e na Inglaterra). Há também quem julgue que este tipo de ataque é uma forma de censura, por "calar" o inimigo à força.
As legislações de vários países consideram este tipo de ataque um crime, incluindo a nova legislação que cobre os chamados "crimes eletrônicos", que entrará em vigor na semana que vem em Brasil.
Lei n° 12.737 :
Art. 3o Os arts. 266 e 298 do Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal, passam a vigorar com a seguinte redação:
“Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública
Art. 266. ........................................................................
§ 1o Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento.
§ 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.” (NR)
Existem várias técnicas diferentes que podem ser utilizadas para efetuar um ataque do tipo DDOS, incluindo a utilização de Botnets (criadas ou alugadas), a utilização de "Booters" como no caso recente ataque ao site do BrianKrebs, a utilização de ferramentas com o consentimento do usuário para ataques de grupos (como o Hoic/Loic), entre outros. Entre todas elas, a mais eficiente foi a utilizada neste caso.
[ Ataques de Negação de Serviço Distribuídos utilizando Servidores DNS Recursivos Abertos ]
No caso em pauta (a briga entre duas empresas holandesas), de um lado temos a SpamHaus - responsável por lutar contra os spammers, através de blacklists utilizadas por grande parte dos servidores de email do mundo para evitar spams de redes reconhecidamente problemáticas, e de outro o CyberBunker (também conhecida como cb3rob)- empresa de hospedagem que é um paraíso para spammers e outros cibercriminosos - seus termos de uso só banem a pornografia infantil e o terrorismo, o resto vale!
Um ponto importante sobre a transnacionalidade deste tipo de problema (/incidente/crime) - no ataque em pauta, o principal suspeito (CyberBunker), ao ser perguntado sobre a investigação que está sendo feita por vários países que consideram o ataque ilegal, o porta voz da empresa disse que todos que efetuaram (não necessariamente quem planejou) os ataques não estão em países onde ataques de DDoS são ilegais - CyberBunker entrevistada (no final deste vídeo).
O ataque massivo de DDOS teve como o alvo o site da SpamHaus e se iniciou no dia 18 de março, mas nos dias subsequentes ele cresceu muito, a ponto de gerar lentidão na comunicação de algumas redes em diferentes lugares do mundo. Os ataques que inicialmente se direcionavam à SpamHaus (dia 19, 75Gbs) foram progredindo para seus fornecedores de conectividade (upstream providers) e chegaram até as redes que formam a infraestrutra de conectividade da internet (IX - internet exchange). Na imagem abaixo, divulgada pela CloudFlare, é visível o efeito do ataque no London Internet Exchange (também foram afetados os IX de Amsterdam, Frankfurt e Hong Kong. No pico do ataque o trhoughput foi de 300Gbps (300 Gigabytes por segundo).
"In the Spamhaus case, the attacker was sending requests for the DNS zone file for ripe.net to open DNS resolvers. The attacker spoofed the CloudFlare IPs we'd issued for Spamhaus as the source in their DNS requests. The open resolvers responded with DNS zone file, generating collectively approximately 75Gbps of attack traffic. The requests were likely approximately 36 bytes long (e.g. dig ANY ripe.net @X.X.X.X +edns=0 +bufsize=4096, where X.X.X.X is replaced with the IP address of an open DNS resolver) and the response was approximately 3,000 bytes, translating to a 100x amplification factor.
We recorded over 30,000 unique DNS resolvers involved in the attack. This translates to each open DNS resolver sending an average of 2.5Mbps, which is small enough to fly under the radar of most DNS resolvers. Because the attacker used a DNS amplification, the attacker only needed to control a botnet or cluster of servers to generate 750Mbps -- which is possible with a small sized botnet or a handful of AWS instances. It is worth repeating: open DNS resolvers are the scourge of the Internet and these attacks will become more common and large until service providers take serious efforts to close them."
Ou seja a CloudFlare - ao redirecionar os pacotes que tinham como endereço os IPs do alvo (SpamHaus) para múltiplos IPs espalhados em vários continentes, aliviou o efeito do ataque e permitiu uma melhor conectividade para as redes próximas ao alvo, mas (potencialmente) afetou as demais redes para onde o tráfego foi redirecionado. Isto normalmente nem é percebido para ataques menores, mas este ataque de 300Gbps, foi diferente.
Para o ataque foram utilizados 30.000 servidores DNS "open resolvers". Segundo o Open Resolver Project, já foram mapeados quase 27 milhões de servidores DNS open resolvers na Internet. Curiosamente, nas últimas 12 horas, o CyberBunker está indisponível mas o SpamHaus continua online.
Algumas fontes de notícias tem exagerado nos efeitos deste ataque à SpamHaus, aumentando sua importância para a internet como um todo - alguns estão o chamando de "bomba nuclear digital", entre outros exageros. De qualquer forma, se considerarmos que o último maior ataque DDoS foi de cerca de 10Gbps, é um ataque significativo, sim - e certamente efeitos colaterais foram sentidos.
Vale lembrar que ataques DDOS em servidores de DNS raiz já tiveram um efeito (este sim, devastador) por duas vezes na história da internet - em 2002 e 2007.
Um vídeo muito interessante sobre ataques de negação de serviço distribuídos utilizando amplificação de DNS foi feito pelo Team Cymru (também parceiro da Apura):
[ Mitigação / Defesa ]
Além dos serviços de mitigação comerciais existentes - O que mais podemos fazer antes de um ataque de negação de serviço para se preparar para ter resiliência durante a execução dele?
I - Cheat Sheet - Neste mês publicamos por aqui as Metodologias de Resposta a Incidentes publicadas pelo CERT da Société Générale, incluindo o "IRM-4 : Distributed Denial of Service" (PDF)
II - O pessoal da Whitehat Security publicou um "DDoS RunBook" (formato .docx) para auxiliar as empresas a se prepararem para este tipo de incidente de segurança, criando um plano de resposta. Se você faz parte de um time de segurança da informação ou CSIRT, recomendo.
III - RFC 5358- Preventing Use of Recursive Nameservers in Reflector Attacks
IV - US CERT - Alert (TA13-088A) DNS Amplification Attacks
V - Em 2007 eu tive a oportunidade de fazer sugestões e revisar um excelente documento produzido pelo CERT.BR, entitulado "Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos". O documento foi atualizado esta semana devido aos ataques em pauta - vale a leitura.
A descrição dos passos do ataque pode ser vista nos parágrafos e imagem abaixo:
"Uma das técnicas de DDoS utilizadas atualmente envolve a exploração de servidores DNS recursivos abertos, para gerar grandes quantidades de tráfego de resposta DNS para uma vítima cujo endereço IP está sendo forjado.
Um dos problemas fundamentais explorado nesses ataques é o fato do sistema de DNS utilizar UDP (Internet User Datagram Protocol) como protocolo principal de comunicação. Como este protocolo não requer o estabelecimento de uma sessão entre o cliente e o servidor e não possui métodos de autenticação, fica facilitada a ação de forjar a origem de uma consulta DNS.
1 - O atacante publica um registro muito grande, em geral TXT, em um servidor DNS sob seu controle (muitas vezes esse pode ser um servidor previamente comprometido pelo atacante).
2 - O atacante, de posse de uma lista de servidores DNS recursivos abertos, envia a estes servidores centenas ou milhares de consultas pelo registro publicado no passo 1, forjando o endereço IP da vítima, ou seja, colocando o endereço IP da vítima como endereço de origem da consulta (2a). Deste modo, o atacante faz com que as respostas sejam enviadas para a vítima e não para a máquina que fez as consultas. Na primeira consulta recebida por um servidor recursivo este vai buscar a resposta no servidor controlado pelo atacante (2b), nas demais consultas a resposta será enviada diretamente do cache do servidor recursivo aberto.
Em diversos casos documentados as consultas feitas à lista de servidores abertos foram realizadas por uma grande quantidade de bots, o que em geral aumenta ainda mais o volume de tráfego sendo enviado para a vítima.
3 - A vítima recebe as respostas DNS, que costumam gerar uma amplificação de aproximadamente 10 a 80 vezes o tráfego inicial de consultas, pois, para uma consulta média de aproximadamente 50 bytes, podem ser retornados cerca de 4.000 bytes de resposta para a vítima."
Para solucionar o problema dos servidores DNS recursivos abertos é necessário separar os servidores autoritativo e recursivo e atribuir políticas de acesso diferentes a cada um. Isto pode ser feito de duas maneiras:
Colocando os servidores DNS em computadores diferentes, com configurações e políticas de acesso diferentes; ou Utilizando o conceito de views (visões ou vistas) do BIND 9 (Berkeley Internet Name Domain versão 9).
Para a lista completa de sugestões de mitigação para servidores DNS (BIND9 e Microsoft DNS), veja as instruções técnicas diretamente o site do CERT.BR.
VI - Uma dica valiosa para empresas/órgãos preocupados em não participar deste tipo de ataque por possuir servidores mal configurados em suas redes é fornecida no documento do CERT.BR (I) . Trata-se do serviço disponibilizado pelo "DNS Factory" - http://dns.measurement-factory.com/cgi-bin/openresolverquery.pl, onde qualquer um pode solicitar que a lista dos Open Resolvers sobre sua responsabilidade sejam enviadas para os emails de contato (RFC 2142) das redes em questão. (Uma alternativa interessante ao DNS Factory é o DNSInspect).
VII - Dicas importantes de mitigação utilizando DNS rate limit podem ser vistas no site da CloudShield: "3 Ways to Use DNS Rate Limit Against DDoS Attacks"
VIII - A Radware publicou um "DDoS Survival Handbook" - muito útil também.
IX - O Team Cymru possui uma página sobre configuração segura de DNS e publicou um interessante documento sobre o histórico dos ataques de DDOS: http://www.team-cymru.com/ReadingRoom/Whitepapers/2010/ddos-basics.pdf
[ Outras leituras recomendadas sobre o tópico - além das já linkadas no post ]
Português:
Português:
- O ‘maior ataque cibernético’ e outro grande exagero da imprensa - excelente cobertura do assunto feita pelo Altieres, que me mandou a URL assim que publiquei o artigo - mais que recomendado)
- O maior ataque de todos os tempos... da última semana - ótimo post do Anchises sobre o assunto. (e update)
Espanhol:
Inglês:
- Chronology of a DDoS: SpamHaus (Cisco)
- When spammers go to war: Behind the Spamhaus DDoS (ArsTechnica)
- Q&A: Massive denial of service attack hits SpamHaus (LastWatchDog)
- Spamhaus DDoS Attacks Triple Size of Attacks on US Banks (ThreatPost)
- Spamhaus DDoS grows to Internet-threatening size (ArsTechnica)
- Distributed Denial of Service (DDoS) Attacks/tools (Dittrich)
- DDoS Attack Doesn't Spell Internet Doom: 7 Facts (InformationWeek)
- Looking at the SpamHouse DDoS from a BGP perspective (BGPMon)
Excepcional post, favoritado.
ReplyDelete