Odsiecz
Spamhaus, nie mogąc sobie poradzić samodzielnie z atakiem, zwrócił się o pomoc do CloudFlare – firmy specjalizującej się w zwalczaniu ataków DDoS. Jako że jedynym sposobem obrony przed DDoS jest zredukowanie obciążenia serwerów, CloudFlare zaangażował swoje 23 centra obliczeniowe, które podstawiono pod adresami serwerów Spamhaus, tak by mogły przyjąć na siebie zalew informacji. Dodatkowego wsparcia, udzielił także Google, który dysponuje rozbudowaną infrastrukturą serwerową na całym świecie.
Rozproszenie ruchu w sieci, generowanego przez atakującego, jest możliwe dzięki technologii Anycast, która pozwala na utworzenie wielu klonów atakowanego serwera i podłączenie ich do sieci pod wspólnym IP, co pozwala na rozładowanie ataku na wiele łączy i serwerów.
Jednak skala ataku była tak wielka, że przeciążyła nie tylko serwery ofiary, ale także całą infrastrukturę internetu, która została zakorkowana pakietami wygenerowanymi przez atakujących hakerów. Opóźnienia zaczęły się pojawiać na routerach sieci szkieletowej, które nie nadążały z przekierowaniem pakietów, oraz na samych łączach, gdyż ilość danych przekraczała przepustowość światłowodów. Atak doprowadził także do przeciążenia punktów wymiany (Internet Exchange) w Amsterdamie i Londynie, czyli kluczowych dla działania internetu miejsc, gdzie łączą się ze sobą światłowody różnych operatorów sieci szkieletowych.
To przeciążenie spowodowało, że konsekwencje ataku odczuli także internauci niezwiązani w żaden sposób ze Spamhausem. Źle działały przede wszystkim te usługi, które wymagają dużych przepustowości, jak np. serwis z filmami Netflix. Poza tym użytkownicy skarżyli się na wydłużenie czasu odpowiedzi na zapytania do serwerów i obniżenie prędkości pobierania danych.
Wzmocnienie przez DNS
Aby osiągnąć tak dużą intensywność ataku, napastnicy w pomysłowy sposób wykorzystali elementy architektury samego internetu, mianowicie serwery DNS.
DNS jest usługą, która tłumaczy numeryczne adresy IP serwerów internetowych (np. 217.74.70 184) na frazy łatwe do zapamiętania przez użytkowników, czyli nazwy domen (np. pcformat.pl). Dodatkowo DNS dostarcza dodatkowych informacji usprawniających działanie sieci, np. o tym, który serwer odpowiada za obsługę poczty w danej domenie, gdzie znajduje się strona WWW itp.
System DNS działa w taki sposób, że w odpowiedzi na zapytanie przesyła dużo więcej danych, niż wynosi samo zapytanie. Maksymalnie może to być 512 bajtów, kilkadziesiąt razy więcej niż samo zapytanie. Odpowiedź na typowe zapytanie do serwera DNS wraca do odbiorcy, więc objętość odpowiedzi nie ma znaczenia. Ten mechanizm można jednak wykorzystać do wzmocnienia ataku. W jaki sposób? Przez sfałszowanie adresu IP źródła zapytania. W miejsce adresu IP komputera generującego zapytanie wstawiany jest adres serwera, który jest obiektem ataku. W ten sposób pakiet z odpowiedzią na zapytanie DNS zamienia się w pocisk. Biorąc pod uwagę fakt, że atakujący zazwyczaj dysponuje botnetem złożonym z setek, tysięcy zainfekowanych trojanami komputerów, ostrzał atakowanego serwera po wzmocnieniu przez DNS staje się huraganowy. Aby osiągnąć natężenie ataku rzędu 300 Gb/s, wystarczy, żeby komputery zombi sprzęgnięte w botnecie wygenerowały ruch 15 Gb/s.
Według szacunków firmy CloudFlare, w ataku na Spamhaus wykorzystano aż 30 tys, serwerów DNS. Były to tzw. otwarte resolvery, czyli serwery tłumaczące nazwy, które są dostępne dla każdego zazwyczaj przez błędną konfigurację lub zaniedbanie administratora.
Rady na przyszłość
Po doświadczeniach ataku na Spamhaus organizacja CERT (Computer Emergency Response Team), zajmująca się zwalczaniem zagrożeń w sieci, wydała rekomendację dotyczącą zabezpieczenia otwartych DNS-ów, tak by nie można było ich używać do ataków DDoS. Miejmy nadzieję, że administratorzy wezmą ją sobie do serca, bo zamiast obiecywanego szybkiego internetu dla każdego będziemy mieli regularnie powtarzający się Dzień Bez Internetu.