专家说,上周针对一个国际反垃圾邮件组织的规模空前的分布式拒绝服务(DDoS)攻击给全世界的互联网用户带来了麻烦。
[也:15起最严重的数据泄露事件]
DDoS攻击开始于一个多星期前,目标是Spamhaus项目,这是一个总部位于日内瓦、瑞士和伦敦的组织,负责维护涉及垃圾邮件、恶意软件和其他在线滥用活动的IP(互联网协议)地址、域名和其他互联网资源的数据库。
Spamhaus以屏蔽列表的形式发布数据,供世界各地的互联网和电子邮件服务提供商、企业、大学和政府使用,以过滤其网络和服务器上的互联网流量。
为了让自己的服务和网站保持在线,Spamhaus获得了总部位于旧金山的CloudFlare公司的帮助。CloudFlare运营着一个旨在提高网站性能的全球内容分发网络。
CloudFlare在一份声明中说博客上周,它缓解了对Spamhaus的攻击,该攻击的峰值是75Gbps。然而,CouldFlare首席执行官马修•普林斯周三通过电子邮件表示,自那以后,攻击的规模显著扩大。
普林斯周三在一份声明中说,鉴于CloudFlare的网络基础设施使其能够减轻最初的攻击,攻击者决定向上游移动,直接攻击CloudFlare的互联网服务提供商,然后再攻击这些提供商的上游提供商博客。
攻击者的最终目标是运营互联网核心网络的第一级提供商,以及互联网交换(IX),这些位于世界各地的关键节点连接着谷歌、Facebook、雅虎(Yahoo)和几乎所有大型互联网公司的网络。
Prince说:“虽然我们无法直接看到他们看到的流量负载,但一家主要的一级提供商告诉我们,他们看到了超过300Gbps的与这次攻击相关的攻击流量。”
普林斯说:“我们已经看到几个主要的一级网络出现拥堵,主要是在大多数攻击集中的欧洲,这将影响数亿人,即使他们浏览与Spamhaus或CloudFlare无关的网站。”“如果过去几天欧洲的互联网让你感觉有点迟钝,这可能是部分原因。”
Akamai技术公司的首席架构师Patrick Gilmore周三在电子邮件中说:“考虑到所报告的300Gbps的数字,这将是有记录以来公开承认的最大的一次攻击。”Akamai运营着世界上最大的内容分发网络之一。
Gilmore说,一般来说,当攻击规模非常大时,它会堵塞互联网管道,损害攻击源和目标受害者之间的基础设施。
DDoS缓解供应商Arbor Networks的安全和工程响应团队负责人丹·霍尔登说:“我们一致认为,攻击的规模约为300Gbps。”“我们之前见过的最大的一次攻击发生在2010年,当时的攻击速度约为100Gbps。”
在这种情况下使用的攻击方法被称为DNS反射,包括向所谓的开放DNS(域名系统)解析器发送欺骗请求,这些DNS服务器可以被互联网上的任何人查询,似乎来自目标受害者的IP地址。攻击者通常会编写他们的请求,以便被查询的服务器返回给受害者的响应会非常大。
DNS反射攻击并不新鲜互联网上有数百万个开放的DNS解析器可以被这样滥用。
霍尔登说,这种类型的攻击可以被受害者或防御攻击的提供商减轻,但在这种特殊情况下,由于其规模,攻击也在整个过程中强调了互联网的其余部分。“这对互联网结构造成了本质上的压力。”
霍尔顿希望这次攻击的规模和受到的关注将有助于加快清除互联网上开放的DNS解析器的努力。不过,他也认为,短期内,由于这种方法的成功,它实际上可能会鼓励其他攻击者使用相同的攻击方法。
一个名为“Stophaus运动”的组织声称对这次前所未有的袭击负责。该组织声称,Spamhaus滥用职权,在没有任何法院命令或法律监督的情况下,迫使托管公司终止与被标记为垃圾邮件发送者的特定客户的业务关系。
Stophaus运动的发言人Sven Kamphuis周三表示,该组织的成员正在招待那些被Spamhaus标记为垃圾邮件发送者的公司和其他组织,因为他们拒绝遵守Spamhaus的要求。
Kamphuis经营着一家名为CB3ROB的网络供应商被Spamhaus列入黑名单寄存垃圾僵尸网络和勒索骗局。CB3ROB是一家名为CyberBunker.com的荷兰托管公司的供应商,该公司允许客户“托管任何他们喜欢的内容,除了儿童色情和任何与恐怖主义有关的内容。”
Kamphuis说:“我不是垃圾邮件制造者,Stophaus的成员也都不是。”他说,如果一家公司被列入Spamhaus的黑名单,它的带宽提供商也会被列入黑名单。这意味着如果CB3ROB被列入黑名单,而这家公司有KPN作为带宽供应商,KPN的邮件服务器也会被列入黑名单,他说。他补充说,这些供应商通常会决定终止合同,以避免自己被列入黑名单。
Kamphuis说,正因为如此多的提供商使用了Spamhaus的黑名单,该组织“表现得就像是事实上的网络警察”。“这个行业里的每个人都受够了垃圾邮件haus。”
坎普赫伊斯说他自己并没有攻击Spamhaus。他说,这些攻击主要来自中国和俄罗斯。“我们这个组织(Stophaus)中有相当一部分人所在的地区不存在发起这类攻击的问题。”
Kamphuis说,CB3ROB和Cyberbunker一起做了一个拦截Spamhaus网络流量的“测试”,但那不是DDoS攻击。
当CloudFlare受到攻击时,其他网站也瘫痪了,但CloudFlare不能为此责怪Stophaus, Kamphuis说。他说:“他们认为,开始托管一家受到有史以来最大的DDoS攻击的公司是个好主意。”
“他们可以声称我们在破坏互联网,但我们,这些主机,建立了互联网,”他说,并补充说Spamhaus是互联网的一个“麻烦”,而不是相反。
Spamhaus项目发言人文森特·汉纳周三通过电子邮件表示:“网上有些人声称我们不负责,可以‘审查’我们想要的任何东西。”“显然不是这样的。我们不仅要在法律范围内运作,还要对用户负责。”
他说:“如果我们开始建议我们的用户不要从他们确实想要邮件的某些地方接收邮件,他们会很快停止使用我们的数据,因为它显然不适合他们。”“我们为自己的数据质量感到自豪,世界上最大的isp和网络都在使用我们的数据,这是对我们数据质量的有力证明。”
汉纳说,这是Spamhaus遭受的最大一次攻击。然而,他说,该组织经常受到攻击,并试图确保其用户将继续访问其数据。
核心的互联网基础设施可能肯定会被大规模攻击所涉及的流量淹没,Hanna说。“当这种情况发生时,其他交通可能也会受到影响。把它比作一条大的高速公路:如果交通堵塞足够大,匝道就会减速并被填满,通往匝道的道路也会被填满。”
发言人Paul van der Zanden说,在接到荷兰警方高科技犯罪小组(THTC)的通知后,荷兰公诉部门已经对针对Spamhaus的DDoS攻击展开了刑事调查。他说,有足够的理由进行调查。
(Loek Essers在阿姆斯特丹报道。)