過去の春、スパムウォッチドッグSpamhausは、サーバーをオフラインにし、一時的な地域のインターネット破壊を引き起こした分散型サービス拒否(DDoS)攻撃に見舞われました。 Webパフォーマンスおよびセキュリティ企業であるCloudFlareは、Spamhausの回復を支援しました。 ラスベガスで開催されたBlack Hatカンファレンスで、CloudFlareの共同設立者兼CEOであるマシュープリンスは、学んだことだけを報告しました。
「Spamhausのすばらしい点は、彼らが本当にオープンな組織であるということです」とプリンスは言いました。 「私たちの顧客のほとんどは、私たちが攻撃について話すのを嫌いますが、Spamhausの連中は、ちょっと話してください。」
Princeは攻撃の段階をレビューしました。この段階では、問題を引き起こさない低レベルのDDoSが数日間続きましたが、最終的にはこれまでにない309 Gbps(ギガビット/秒)にまで上昇しました。 メディアは、攻撃がオランダのバンカーから来たと報じましたが、プリンスはこれが実際の首謀者ではないと指摘しました。 「ねえ、彼はニューヨークタイムズに話しました!」 プリンス。 攻撃の背後にある脳は、現在拘束されている15歳のロンドンの少年のものでした。
この子供はどのリソースを必要としましたか? 「ボットネットは必要ありません」とプリンスは言いました。「匿名のような多くの人は必要ありません。」 彼は続けて、攻撃には多くの技術的な専門知識は必要ないと言った。 「それは穴居人があなたのネットワークを打ち負かすようなものです。」 彼は、使用された攻撃の種類を示す非常に簡単なネットワーク命令の行を表示し続けました。
この種の攻撃に必要なのは、オープンDNSリゾルバーのリストと、ソースIPスプーフィングを許可する一部のサーバーへのアクセスです。 「これらは材料です」とプリンスは言いました。 「これらの2つのこと、ごく少数であっても、大規模な攻撃を仕掛けることができます。Spamhaus攻撃以降、何も変わっていません。」
プリンスは、参加者が自分のネットワークをクリーンアップするように勧め、彼らが問題の一部ではないことを確認しました。 「OpenResolver.comで自分のIPスペースを確認してください」とPrince氏は語り、「誤って設定されたデバイスを修正します。問題があることに驚くかもしれません。」 「エッジルーターの単純なフラグはIPスプーフィングを防止します」と彼は続けました。 「これを行わない言い訳はありません。」 彼は、ネットワークの衛生に関する多くの技術的な推奨事項をまとめました。
残念ながら、インターネットは全体としてこのアドバイスを受けていません。 Spamhaus攻撃以来、既知のオープンDNSリゾルバの数は、2100万から2800万に増加しました。 プリンスは、Spamhaus攻撃のトラフィックを10倍、さらには100倍にすることができる非常に単純な変更を指摘しました。
Black Hat 2013の詳細については、SecurityWatchをご覧ください。
