Apocalipse da Internet agora? especialistas dizem que não

O ataque DDoS amplificado do provedor de hospedagem CyberBunker contra o equipamento antispam SpamHaus Project é uma grande notícia. O New York Times pesou, assim como a BBC. A agência de proteção à Internet CloudFlare informou que o ataque aumentou para provedores de largura de banda de Nível 1 e que um ataque DDoS de 300 Gbps atrasou as conexões de muitos usuários da Internet. Mas espere um pouco. Você experimentou uma desaceleração? Nem eu. De fato, muitos especialistas agora relatam que mesmo esse maior ataque de DDoS de todos os tempos não afetou apreciavelmente a Internet em geral.

Apenas um pontinho?

A Keynote Systems monitora constantemente o tempo de resposta de 40 "importantes sites de negócios baseados nos EUA", conectando-se a eles em vários locais importantes em todo o mundo. O tempo médio de resposta varia, mas tende a permanecer aproximadamente no mesmo intervalo. E o Keynote Performance Index mostra apenas um leve "toque" durante o ataque.

O especialista em palestras Aaron Rudger disse: "Os números não mentem - e isso é fato". Referindo-se a um gráfico de desempenho nas últimas quatro semanas, ele observou que "os agentes europeus relatam desempenho bastante consistente e normal em todo o evento… DDoS. No entanto, há um pequeno detalhe que aparece".

"Nós vemos", disse Rudger, "que os agentes europeus estavam passando por tempos de resposta mais lentos - até 40% mais lentos que a média - entre as 8h30 e as 14h30 (PST) de 26 de março. É possível que o ataque Spamhaus pode estar relacionado a essa desaceleração, mas não podemos ter certeza ". Rudger observou que milhares de pessoas transmitindo a grande partida de futebol que ocorreu ao mesmo tempo podem explicar a desaceleração. "Ele rejeita a alegação de que o ataque causou dias de interrupção, dizendo:" Simplesmente não vemos nossos dados ".

Apenas Hype?

Em uma extensa publicação no blog, Sam Biddle, do Gizmodo, dá um passo adiante, acusando o CloudFlare de exagerar o problema para seu próprio benefício. O CloudFlare, diz Biddle, é "responsável pelo boletim meteorológico da Internet, a parte que lucra diretamente com o fato de você estar preocupado com o fato de a Internet como a conhecemos estar sitiada".

O artigo de Biddle exibe gráficos de fontes independentes (semelhantes ao Keynote), que não mostram picos no tráfego ou quedas no tempo de resposta. Um relatório da Amazon na hospedagem da Netflix mostrou zero interrupções durante a semana. Um porta-voz da NTT, "uma das operadoras de backbone da Internet", afirmou que, embora um ataque de 300 Gbps seja massivo, a maioria das regiões possui capacidades no intervalo de Tbps, concluindo "eu fico do seu lado questionando se isso abalou a Internet global".

Biddle conclui que o CloudFlare estava "tentando assustar os moradores da internet pensando que eles são os residentes de Dresden, a fim de angariar negócios". "Se seu produto vale a pena", disse Biddle, "você não deveria mentir para a internet para vendê-lo". Palavras fortes de fato.

Lançar luz sobre o problema

Adam Wosotowsky, arquiteto de dados do sistema de mensagens do McAfee Labs, tem vontade de dar uma folga no CloudFlare. Mesmo que eles tenham exagerado a situação, "não há mal nisso". Ele ressalta que chamar a atenção para o problema pode ajudar "locais menos preparados por aí que não estão prontos para esse tipo de situação simplesmente porque não estão cutucando ninhos de vespas o dia todo". Divulgar significa que essas empresas "podem se beneficiar sabendo que seu problema não é único e que existem empresas especializadas em ajudá-las a evitar os ataques".

Quanto à desaceleração relatada, Wosotowsky confirmou que a McAfee encontrou alguns sites "afetados significativamente". Ele observou que, devido ao tamanho do ataque, isso poderia afetar "serviços tangenciais que estão em algum momento do caminho usando a mesma largura de banda".

"O fato de um surto colossal não se justificar", disse Wosotowsky, "não reduz a importância da análise… Do ponto de vista da busca de refúgios seguros para autores de malware e botmasters, a história é realmente digna."

Dinheiro e poder

A Equipe de Pesquisa e Análise Global da Kaspersky Lab não expressou dúvidas quanto à gravidade do ataque, observando que "o fluxo de dados gerado por esse ataque pode afetar os nós intermediários da rede ao passar por eles, impedindo assim operações de serviços Web normais que não tem relação com Spamhaus ou Cyberbunker ". Eles continuaram observando que "ataques DDoS desse tipo estão crescendo tanto em quantidade quanto em escala".

Por que esse aumento? A equipe observou duas motivações principais (e às vezes sobrepostas). "Os cibercriminosos conduzem ataques DDoS para atrapalhar as empresas, em um esforço para extorquir dinheiro delas", disse a equipe. Eles também podem "ataques DDoS como uma arma para perturbar organizações ou empresas em busca de seus próprios interesses ideológicos, políticos ou pessoais". De qualquer forma, ataques DDoS maciços como esse podem interromper o serviço por mais do que apenas o alvo do ataque.

Preste atenção!

O ataque do CyberBunker usou a reflexão do DNS, uma técnica que permite enviar um pequeno pacote de dados que, por sua vez, faz com que um servidor DNS vomite um pacote muito maior no destino. Com efeito, ele amplia o ataque cem vezes. Sim, existem outras maneiras de implementar um ataque DDoS, mas este é o BFG9000 do grupo. Tornar impossível a reflexão do DNS seria uma coisa boa .

O Open DNS Resolver Project lista mais de 25 milhões de servidores que seus testes mostram "representam uma ameaça significativa". Pessoal de TI, preste atenção! Os servidores DNS da sua empresa estão nessa lista? Faça uma pequena pesquisa e proteja-os contra ataques como falsificação de endereço IP. Todos nós agradecemos.