มหากาพย์การต่อสู้ทางไซเบอร์หลุมติดตามสแปมกับโฮสต์เว็บ

มีปัญหาในการเข้าถึงไซต์ที่คุ้นเคยหรือไม่ คุณอาจมีสัญลักษณ์แสดงหัวข้อย่อยหลงไหลในการต่อสู้อันยิ่งใหญ่ระหว่าง CyberBunker เว็บโฮสต์ของดัตช์กับ SpamHaus ผู้ติดตามสแปมระหว่างประเทศที่ไม่แสวงหาผลกำไร

CyberBunker ดำเนินการออกจากบังเกอร์ NATO ที่เลิกใช้แล้ว ดังนั้นชื่อ บริษัท อ้างว่าเป็น "ผู้ให้บริการโฮสติ้งอิสระที่แท้จริงรายเดียวในโลก" และอนุญาตให้ลูกค้าโฮสต์โดยไม่ระบุชื่อ "เนื้อหาใด ๆ ที่พวกเขาต้องการยกเว้นสื่อลามกอนาจารเด็กและทุกสิ่งที่เกี่ยวข้องกับการก่อการร้าย"

เห็นได้ชัดว่าคำสัญญานั้นพิสูจน์ได้ว่าน่าสนใจสำหรับผู้ส่งสแปมกลุ่มหนึ่งกลุ่มขึ้นไปเนื่องจาก SpamHaus ตรวจสอบปริมาณการส่งสแปมที่สำคัญกลับไปยัง CyberBunker พวกเขาขึ้นบัญชีดำ CyberBunker และดังนั้นจึงกำจัดผู้ส่งอีเมลขยะเหล่านั้นออกจากกล่องจดหมายเข้าได้เกือบสองล้านกล่อง ในการตอบโต้ CyberBunker เปิดตัวสิ่งที่เรียกว่าการโจมตีทางไซเบอร์ที่ใหญ่ที่สุดที่เคยมีมา

การโจมตีแบบขยาย

CyberBunker พยายามปิด SpamHause ด้วยการโจมตี DDoS (Distributed Denial of Service) ร้ายแรง SpamHaus ติดต่อ บริษัท ป้องกันเว็บ CloudFlare เพื่อขอความช่วยเหลือ CloudFlare ระบุว่าผู้โจมตีใช้เทคนิคที่เรียกว่า DNS reflection เพื่อสร้างปริมาณการใช้งานเว็บปริมาณมหาศาลบนเซิร์ฟเวอร์ของ SpamHaus

ระบบชื่อโดเมนเป็นองค์ประกอบที่สำคัญของอินเทอร์เน็ต เซิร์ฟเวอร์ DNS แปลชื่อโดเมนที่มนุษย์สามารถอ่านได้เช่น www.pcmag.com เป็นที่อยู่ IP เช่น 208.47.254.73 เซิร์ฟเวอร์ DNS มีอยู่ทุกหนทุกแห่งและระดับความปลอดภัยจะแตกต่างกันไป ในการสะท้อน DNS ผู้โจมตีส่งตัวแก้ไข DNS ที่ไม่ปลอดภัยจำนวนมากไปยังคำขอ DNS ขนาดเล็กที่สร้างการตอบสนองขนาดใหญ่ปลอมแปลงที่อยู่ผู้ส่งคืนไปยังที่อยู่ของเหยื่อ

ในโพสต์บล็อกเมื่อสัปดาห์ที่แล้ว CloudFlare รายงานว่ามีผู้แก้ไข DNS มากกว่า 30, 000 รายเข้าร่วม คำขอ 36 ไบต์แต่ละรายการสร้างการตอบสนองประมาณ 3, 000 ไบต์ขยายการโจมตีได้ 100 ครั้ง เมื่อถึงจุดสูงสุดการโจมตีนั้นทำ SpamHaus ด้วยการร้องขอเครือข่ายที่ไม่เกี่ยวข้องสูงสุด 90 Gbps ทำให้เซิร์ฟเวอร์ของ SpamHaus ทำงานหนักเกินไป

ความเสียหายจากหลักประกัน

CloudFlare จัดการเพื่อลดการโจมตีโดยใช้เทคโนโลยีที่เรียกว่า AnyCast โดยย่อดาต้าเซ็นเตอร์ทั่วโลกของ CloudFlare ทั้งหมดจะประกาศที่อยู่ IP เดียวกันและอัลกอริทึมการทำโหลดบาลานซ์จะส่งคำขอที่เข้ามาทั้งหมดไปยังดาต้าเซ็นเตอร์ที่ใกล้ที่สุด วิธีนี้จะลดการโจมตีได้อย่างมีประสิทธิภาพและช่วยให้ CloudFlare บล็อกการโจมตีใด ๆ จากการเข้าถึงเหยื่อ

นั่นไม่ใช่จุดจบ ตามที่นิวยอร์กไทม์สผู้โจมตีจากนั้นหันไปมอง CloudFlare โดยตรงในการตอบโต้ แมทธิวเจ้าชายซีอีโอของ Times อ้างถึง CloudFlare ว่า "สิ่งเหล่านี้เป็นเหมือนระเบิดนิวเคลียร์มันง่ายมากที่จะสร้างความเสียหายมาก" บทความนี้ยังระบุอีกว่าผู้ใช้หลายล้านคนพบว่าตัวเองไม่สามารถเข้าถึงเว็บไซต์บางแห่งได้ชั่วคราวเนื่องจากการโจมตีอย่างต่อเนื่องโดยเฉพาะการกล่าวถึง Netflix เป็นตัวอย่าง

CloudFlare อธิบายเพิ่มเติมเกี่ยวกับความเสียหายที่เพิ่มขึ้นในโพสต์ใหม่ในวันนี้ ครั้งแรกผู้โจมตีไปตาม SpamHaus โดยตรง ถัดไปพวกเขาเน้นการโจมตีบน CloudFlare เมื่อไม่ได้ผลพวกเขาก็เปลี่ยนการโจมตีต้นน้ำเป็น "ผู้ให้บริการที่ CloudFlare ซื้อแบนด์วิดท์"

โพสต์ของ CloudFlare ระบุว่า "ความท้าทายในการโจมตีในระดับนี้คือพวกเขาเสี่ยงต่อระบบที่เชื่อมโยงอินเทอร์เน็ตเข้าด้วยกัน" และการโจมตีที่เพิ่มขึ้นอย่างต่อเนื่องของผู้ให้บริการแบนด์วิดท์ระดับสูงทำให้เกิดปัญหาการเชื่อมต่อที่สำคัญสำหรับผู้ใช้บางรายซึ่งส่วนใหญ่อยู่ในยุโรป

ไม่ได้ซ่อน

โฆษกของ CyberBunker ใช้เครดิตในการโจมตีโดยกล่าวว่า "ไม่มีใครเคยเป็นตัวแทนของ Spamhaus เพื่อพิจารณาว่าอะไรจะเกิดขึ้นและไม่ได้ไปบนอินเทอร์เน็ตพวกเขาทำงานด้วยตนเองเพื่อต่อสู้กับสแปม"

เว็บไซต์ CyberBunker ภูมิใจนำเสนอ run-ins อื่น ๆ พร้อมหน่วยงานกำกับดูแลและการบังคับใช้กฎหมาย หน้าประวัติศาสตร์ระบุว่า "เจ้าหน้าที่ชาวดัตช์และตำรวจได้พยายามหลายครั้งในการใส่บังเกอร์โดยการบังคับไม่ประสบความสำเร็จในความพยายามเหล่านี้"

เป็นที่น่าสังเกตว่า SpamHaus ไม่จริง "กำหนดสิ่งที่เกิดขึ้นบนอินเทอร์เน็ต" ในฐานะที่เป็นคำถามที่พบบ่อยของ บริษัท ผู้ให้บริการอีเมลที่สมัครเป็นสมาชิกในบัญชีดำของ SpamHaus สามารถบล็อกอีเมลที่มาจากที่อยู่ในบัญชีดำ; นั่นคือทั้งหมดที่

การป้องกันเป็นไปได้

โชคดีที่มีวิธีที่จะยุติการโจมตีประเภทนี้ Internet Engineering Task Force ได้ตีพิมพ์การวิเคราะห์การปฏิบัติที่ดีที่สุดในปัจจุบัน (BCP-38) ที่อธิบายว่าผู้ให้บริการสามารถป้องกันการปลอมแปลงที่อยู่ IP ได้อย่างไรและเอาชนะการจู่โจมเช่นการสะท้อน DNS

CloudFlare ได้มีส่วนร่วมในกลยุทธ์ "name and shame" เล็กน้อยโดยการประกาศชื่อของผู้ให้บริการด้วยเซิร์ฟเวอร์ DNS ที่ไม่มีหลักประกันจำนวนมากที่สุด จากการโพสต์บล็อกของ CloudFlare หลังจากสี่เดือนจำนวนผู้แก้ไข DNS แบบเปิดก็ลดลง 30% โครงการ Open Resolver แสดงรายชื่อผู้แก้ปัญหาที่ไม่ปลอดภัย 25 ล้านคน น่าเสียดายที่ในขณะที่โพสต์บันทึกของ CloudFlare "คนร้ายมีรายชื่อของตัวแก้ไขที่เปิดอยู่และพวกเขามีความกล้าหาญมากขึ้นในการโจมตีที่พวกเขายินดีที่จะเปิดตัว"

ระบบ DNS นั้นมีความสำคัญอย่างยิ่งต่อการทำงานของอินเทอร์เน็ต มันต้องการการปกป้องที่ดีที่สุดที่เราสามารถให้ได้ ผู้ให้บริการจำนวนมากจำเป็นต้องปิดช่องโหว่ด้านความปลอดภัยที่อนุญาตการโจมตีประเภทนี้ หนึ่งในเป้าหมายที่ระบุไว้ของ CloudFlare คือ "การทำสิ่ง DDoS ที่คุณอ่านในหนังสือประวัติศาสตร์เท่านั้น" เราหวังได้!