Mauro Vecchio

Spamhaus, il DDoS che rallent˛ Internet

Lo scontro tra l'osservatorio britannico e il provider olandese CyberBunker ha portato a quello che Ŕ stato definito il pi¨ imponente attacco denial of service della storia di Internet. Lite sulla lista dei siti associati allo spam

Roma - Cinque dipartimenti nazionali di polizia cibernetica al lavoro su quello che in molti hanno descritto come il più potente attacco DDoS mai registrato nella storia di Internet, condotto contro l'osservatorio antispam Spamhaus. Con un traffico dati alla sorprendente velocità di oltre 300 miliardi di bit al secondo, l'attacco distributed denial of service ha portato ad un preoccupante rallentamento nelle connessioni globali alla Rete, mettendo a rischio l'intera infrastruttura di Internet.

Almeno questa volta, i vari movimenti hacktivisti risultano del tutto estranei agli attacchi, generalmente un marchio di fabbrica per i collettivi Anonymous e LulzSec. All'origine del DDoS, lo scontro frontale tra i responsabili di Spamhaus, celebre osservatorio britannico anti-spam, e la società di hosting olandese CyberBunker, che da un ex-bunker della NATO fornisce connettività ai più svariati siti web sul pianeta.

Divenuto famoso per aver ospitato l'ex-tracker svedese The Pirate Bay, il provider CyberBunker ha più volte dichiarato l'intenzione di non fare alcuna distinzione tra i vari domini, eccezion fatta per quei siti legati alla diffusione di materiale pedopornografico o vicini ai gruppi del terrorismo internazionale. Alcune indagini condotte dagli analisti di Spamhaus avevano però portato al rilevamento di numerosi siti malevoli tra quelli ospitati dall'ISP.
Di conseguenza, l'osservatorio britannico aveva incluso numerosi domini gestiti da CyberBunker nella sua lista dei siti direttamente coinvolti nelle attività legate allo spam o al phishing. L'operatore olandese - che per bocca di un attivista affiliato ha successivamente rivendicato la paternità dell'attacco - accusava Spamhaus di un vero e proprio abuso di potere, nel momento in cui decide in maniera arbitraria quali contenuti possano essere tranquillamente veicolati online.

"Questa roba è come una bomba nucleare - ha spiegato Matthew Prince, a capo della società specializzata in sicurezza informatica CloudFlare - ╚ così semplice causare danni enormi. Questo è certamente l'attacco DDoS più vasto nell'intera storia di Internet". In un post pubblicato sul suo blog, l'osservatorio britannico spiega di essere riuscito a riprendersi dal blackout, mentre numerosi utenti hanno confermato forti rallentamenti nel traffico verso siti come Netflix.

Mauro Vecchio
Notizie collegate
  • AttualitàSpamhaus, vittoria d'appelloL'osservatorio anti-spam britannico batte e360 dopo cinque anni. La societÓ di Chicago non Ŕ riuscita a dimostrare in aula di aver effettivamente subito danni economici dall'inclusione del suo nome nella blacklist degli spammer
  • BusinessMcDonald's rimpinza di spamLe autoritÓ australiane hanno denunciato la multinazionale statunitense per spam. Utilizzata una funzione vietata dal regolamento nazionale. McDonald's provvede alla rimozione
  • SicurezzaSpam, la sporca dozzinaSecondo SophosLabs, India, Italia e Stati Uniti sono i maggiori produttori di spazzatura digitale. Colpa soprattutto del malware, che trasforma i PC in zombie al soldo della botnet di turno
21 Commenti alla Notizia Spamhaus, il DDoS che rallent˛ Internet
Ordina
  • ... nessun rallentamento di sorta a parte la solita lentezza endemica.

    Probabile bufala ?
    http://attivissimo.blogspot.ch/2013/03/attacco-int...
    non+autenticato
  • - Scritto da: . . .

    > ... nessun rallentamento di sorta a parte la
    > solita lentezza
    > endemica.
    >
    > Probabile bufala ?
    > http://attivissimo.blogspot.ch/2013/03/attacco-int

    Neppure io.
    Ma non risiedo in Italia, magari è per quello.
    Propenderei in ogni caso per una bufala alimentata ad arte da due soggetti che vogliono farsi pubblicità.
    non+autenticato
  • - Scritto da: Leguleio
    > - Scritto da: . . .
    >
    > > ... nessun rallentamento di sorta a parte la
    > > solita lentezza
    > > endemica.
    > >
    > > Probabile bufala ?
    > >
    > http://attivissimo.blogspot.ch/2013/03/attacco-int
    >
    > Neppure io.
    > Ma non risiedo in Italia, magari è per quello.

    Anche lui non risiede in itaGlia:
    http://www.pcmag.com/article2/0,2817,2417142,00.as...
    ma il rallentamento l'ha notato...
    non+autenticato
  • - Scritto da: armstrong
    > - Scritto da: Leguleio
    > > - Scritto da: . . .
    > >
    > > > ... nessun rallentamento di sorta a
    > parte
    > la
    > > > solita lentezza
    > > > endemica.
    > > >
    > > > Probabile bufala ?
    > > >
    > >
    > http://attivissimo.blogspot.ch/2013/03/attacco-int
    > >
    > > Neppure io.
    > > Ma non risiedo in Italia, magari è per
    > quello.
    >
    >
    > Anche lui non risiede in itaGlia:
    > http://www.pcmag.com/article2/0,2817,2417142,00.as
    > ma il rallentamento l'ha notato...

    C'è anche scritto che non esiste nessuna prova in merito che potesse essere un rallentamento causato da Cyberbunker come sostiene Spamhaus.
    non+autenticato
  • - Scritto da: . . .
    > - Scritto da: armstrong
    > > - Scritto da: Leguleio
    > > > - Scritto da: . . .
    > > >
    > > > > ... nessun rallentamento di sorta a
    > > parte
    > > la
    > > > > solita lentezza
    > > > > endemica.
    > > > >
    > > > > Probabile bufala ?
    > > > >
    > > >
    > >
    > http://attivissimo.blogspot.ch/2013/03/attacco-int
    > > >
    > > > Neppure io.
    > > > Ma non risiedo in Italia, magari è per
    > > quello.
    > >
    > >
    > > Anche lui non risiede in itaGlia:
    > >
    > http://www.pcmag.com/article2/0,2817,2417142,00.as
    > > ma il rallentamento l'ha notato...
    >
    > C'è anche scritto che non esiste nessuna prova in
    > merito che potesse essere un rallentamento
    > causato da Cyberbunker come sostiene
    > Spamhaus.
    Grazie, so leggereA bocca aperta
    non+autenticato
  • - Scritto da: armstrong
    > - Scritto da: . . .
    > > - Scritto da: armstrong
    > > > - Scritto da: Leguleio
    > > > > - Scritto da: . . .
    > > > >
    > > > > > ... nessun rallentamento di
    > sorta
    > a
    > > > parte
    > > > la
    > > > > > solita lentezza
    > > > > > endemica.
    > > > > >
    > > > > > Probabile bufala ?
    > > > > >
    > > > >
    > > >
    > >
    > http://attivissimo.blogspot.ch/2013/03/attacco-int
    (...)
    > Grazie, so leggereA bocca aperta

    Curioso che il "buon" attivissimo cada sulle sue stesse motivazioni... di fatto accusa spamhaus e cloudflare di essere autocelebrativi, facendo girare queste notizie. Ma anche lui ha "necessita'" di debunkare di continuo.. se no il suo blog servirebbe quanto quello di Gasparri. E infatti non e' raro che spari bordate alte che poi si rivelano dei petarti (certo a parte sulle scie chimiche e su giulietto chiesa).

    Dire che arstechina,bbc la spara grossa sul titolo (e magari anche dentro. Del resto i giornali scrivono spesssso ad cazzum sulle cose tecniche).. o anche la stessa cloudflare (sul titolo), e' un conto.

    I dati riportati, e il lavoro di cloudflare e spamhaus e' un altro.

    Intanto i giornali e il debunker fa volutamente caciara tra "minaccia all'intera internet" e il "forse piu grande ddos registrato". Forse i giornali non lo sanno, ma un DoS con punte da 300Gbps E' GROSSO.. specie se indirizzato A UN SINGOLO.
    MA i Tier2 e Tier2 (chiamiamole le 'dorsali') portano in giro i Tera. Internet non morira'Con la lingua fuori Oltretutto la "mappa" e' estremamente complessa.. e i vari apparati e tecniche in piedi servono anche appunto a distribuire il traffico (anycast), dropparlo ,routarlo in blackhole ecc. Cioe detto rozzamente il "non rallentamento" che vede Attivissimo e' anche il frutto dell'esistenza di cloudflare e altri soggetti come lui.
    Secondo me Attivissimo se leggesse *BENE* il blog di cloudflare e magari andasse a caccia di dati esatti sulla questione, si ricrederebbe...

    Poi c'e' l'altra questione di A2B Internet/cyberbukner vs spamhaus. La seconda accusa i primi di essere hoster di spam, e che poi l'attacco e' pilotato da li'.
    Ovviamente cyberbunker nega e A2B abbaia xche messo in blacklist.
    Non so (non mi risulta) che spamhaus abbia pubblicato un dossier pubblico con delle prove... ma NON ho seguito la vicenda nei mesi... diciamo che vale "la fama" di spamhaus...
    non+autenticato
  • Non so se ha qualcosa a che fare con questa storia, ma mi sono arrivate tonnellate di spam in questi giorni, peraltro poco filtrate dal server di posta.
    Aumento di circa 7 o 8 volte.
    non+autenticato
  • E google non va...
    non+autenticato
  • - Scritto da: Manti Te o
    > E google non va...

    Idem google va a tratti e spam a fiumi...
    non+autenticato
  • E' doveroso sottolineare il ruolo di windows e il suo immenso contributo nella realizzazione di questo attacco DDOS.

    Senza i milioni di winzombies messi a disposizione da M$, tutto questo non si sarebbe potuto mai realizzare.
  • - Scritto da: panda rossa
    > E' doveroso sottolineare il ruolo di windows e il
    > suo immenso contributo nella realizzazione di
    > questo attacco
    > DDOS.
    >
    > Senza i milioni di winzombies messi a
    > disposizione da M$, tutto questo non si sarebbe
    > potuto mai
    > realizzare.
    per UNA volta non direi che e' colpa di windows[*]. Ma di somari che configurano il loro server dns in modo molto liberale.

    [*] in astratto e' possibile che gli "open dns" fossero su windows.. ma chi e' il folle che installa un DNS su un windows server???

    La classica botnet magari sara' stata usata, MA il *grosso* dell'attacco, infatti (ed e' il motivo per cui e' interessante) e' stato fatto con dei gran DNS zone transfer, usando come vittime dei dns "liberali" [30000 dicono!!], e spoofando la richiesta UDP, usando ovviamente come mittente il povero spamhaus
    non+autenticato
  • - Scritto da: bubba
    > [*] in astratto e' possibile che gli "open dns"
    > fossero su windows.. ma chi e' il folle che
    > installa un DNS su un windows server???

    ce ne sono, ce ne sono...
    non+autenticato
  • - Scritto da: panda rossa
    > E' doveroso sottolineare il ruolo di windows e il
    > suo immenso contributo nella realizzazione di
    > questo attacco
    > DDOS.
    >
    > Senza i milioni di winzombies messi a
    > disposizione da M$, tutto questo non si sarebbe
    > potuto mai
    > realizzare.
    O magari stanno usando questa:
    http://punto-informatico.it/3749919/PI/News/una-bo...
    100% windows freeA bocca aperta
    non+autenticato
  • - Scritto da: armstrong
    > - Scritto da: panda rossa
    > > E' doveroso sottolineare il ruolo di windows
    > e
    > il
    > > suo immenso contributo nella realizzazione di
    > > questo attacco
    > > DDOS.
    > >
    > > Senza i milioni di winzombies messi a
    > > disposizione da M$, tutto questo non si
    > sarebbe
    > > potuto mai
    > > realizzare.
    > O magari stanno usando questa:
    > http://punto-informatico.it/3749919/PI/News/una-bo
    > 100% windows freeA bocca aperta

    01/10
    Sgabbio
    26178
  • - Scritto da: Sgabbio
    > - Scritto da: armstrong
    > > - Scritto da: panda rossa
    > > > E' doveroso sottolineare il ruolo di
    > windows
    > > e
    > > il
    > > > suo immenso contributo nella realizzazione
    > di
    > > > questo attacco
    > > > DDOS.
    > > >
    > > > Senza i milioni di winzombies messi a
    > > > disposizione da M$, tutto questo non si
    > > sarebbe
    > > > potuto mai
    > > > realizzare.
    > > O magari stanno usando questa:
    > >
    > http://punto-informatico.it/3749919/PI/News/una-bo
    > > 100% windows freeA bocca aperta
    >
    > 01/10
    Non l'hai capita?A bocca aperta
    non+autenticato
  • Chi me lo spiega ? Dossare spamhaus, significa dossare il suo servizio di DNSBL ovvero un sistema di antispamming in cui le richieste avvengono tramite classiche richieste DNS UDP.

    Queste liste implementate sui mail server funzionano pressapoco così :

    1. Ricevo una mail.
    2 Interrogo Spamhaus
    3. Se mi dice che è spam, lo etichetto e lo consegno, oppure lo scarto definitivamente (DROP)
    4. Se non è spam, lo accetto e lo consegno al destinatario.

    Il punto è che se spamhaus è dossata, e non riesce a rispondermi, il mio mailserver semplicemente ignora la richiesta e ACCETTA per default il messaggio. A parte questo piccolo particolare (uno potrebbe pensare che accettando tutti i messaggi lo spam lo riceverebbe tutto il mondo), la realtà è che la maggior parte di chi si affida a DNSBL non usa solo Spamhaus, ma anche altre liste.

    Io ad esempio uso :

    reject_rbl_client zombie.dnsbl.sorbs.net,
                                    reject_rbl_client sbl.spamhaus.org,
                                    reject_rbl_client sbl-xbl.spamhaus.org,
                                    reject_rbl_client blackholes.easynet.nl,
                                    reject_rbl_client combined.njabl.org,

    Insieme ad amavisd e clamav e postgrey per il greylisting ... per cui eccetto qualche rallentamento (ricordiamo che la mail non è un sistema di comunicazione real time) non ci sono assolutamente problemi.

    Se così non fosse aspetto smentite grazieSorride

    PS : Ovviamente il rallentamento è solo a livello del servizio SMTP e non Web.
  • per secondo questa mappa:

    http://www.akamai.com/html/technology/dataviz1.htm...

    germania, olanda, francia e inghilterra hanno il traffico web bello congestionato oggi(almeno nel momento in cui la vedo io, 18:00)

    poi magari è una coincidenza
    non+autenticato
  • - Scritto da: J3njy
    > Chi me lo spiega ? Dossare spamhaus, significa
    > dossare il suo servizio di DNSBL ovvero un
    > sistema di antispamming in cui le richieste
    > avvengono tramite classiche richieste DNS
    > UDP.
    >
    > Queste liste implementate sui mail server
    > funzionano pressapoco così
    > :
    >
    > 1. Ricevo una mail.
    > 2 Interrogo Spamhaus
    > 3. Se mi dice che è spam, lo etichetto e lo
    > consegno, oppure lo scarto definitivamente
    > (DROP)
    > 4. Se non è spam, lo accetto e lo consegno al
    > destinatario.
    >
    > Il punto è che se spamhaus è dossata, e non
    > riesce a rispondermi, il mio mailserver
    > semplicemente ignora la richiesta e ACCETTA per
    > default il messaggio. A parte questo piccolo
    > particolare (uno potrebbe pensare che accettando
    > tutti i messaggi lo spam lo riceverebbe tutto il
    > mondo), la realtà è che la maggior parte di chi
    > si affida a DNSBL non usa solo Spamhaus, ma anche
    > altre
    > liste.
    >
    > Io ad esempio uso :
    >
    > reject_rbl_client zombie.dnsbl.sorbs.net,
    >                                 reject_rbl_client
    > sbl.spamhaus.org,
    >                                 reject_rbl_client
    > sbl-xbl.spamhaus.org,
    >                                 reject_rbl_client
    > blackholes.easynet.nl,
    >                                 reject_rbl_client
    > combined.njabl.org,
    >
    > Insieme ad amavisd e clamav e postgrey per il
    > greylisting ... per cui eccetto qualche
    > rallentamento (ricordiamo che la mail non è un
    > sistema di comunicazione real time) non ci sono
    > assolutamente
    > problemi.
    tutto sensato...

    >
    > Se così non fosse aspetto smentite grazieSorride
    >
    > PS : Ovviamente il rallentamento è solo a livello
    > del servizio SMTP e non
    > Web.
    sgrunf... fai tutto un discorso sensato (l'omino che usa spamhaus usa anche altro ecc) e poi mi cadi su questo...
    Il rallentamento c'e'. e lo puoi subire anche "tu" PERCHE IL TUBO e' lo stesso... cioe il tuo application protocol smtp,http,dns ecc, viaggia nello stesso tubo dell'UDP flood scatenato dal attacco. Se viene saturato da tonnellate di spazzatura, ne risenti anche "tu". Tu virgolettato xche se non sei (tu e i tuoi utenti) su nessuna delle tratte coinvolte.. ovviamente non ne risenti.

    Qua la botta e' stata grossa xche il tizio, evidentemente (non sono andato a rileggermi la cosa che ormai e' "vecchia") ha usato un CAGAIO di "open dns", richiedendo con relativamente pochi pacchetti spoofati Udp, il trasferimento della RIPE zone contro la vittima, producendo un floodone UDP da una miriade di sorgenti.
    non+autenticato
  • - Scritto da: bubba
    > sgrunf... fai tutto un discorso sensato (l'omino
    > che usa spamhaus usa anche altro ecc) e poi mi
    > cadi su
    > questo...
    > Il rallentamento c'e'. e lo puoi subire anche
    > "tu" PERCHE IL TUBO e' lo stesso... cioe il tuo
    > application protocol smtp,http,dns ecc, viaggia
    > nello stesso tubo dell'UDP flood scatenato dal
    > attacco. Se viene saturato da tonnellate di
    > spazzatura, ne risenti anche "tu". Tu
    > virgolettato xche se non sei (tu e i tuoi utenti)
    > su nessuna delle tratte coinvolte.. ovviamente
    > non ne
    > risenti.
    >
    > Qua la botta e' stata grossa xche il tizio,
    > evidentemente (non sono andato a rileggermi la
    > cosa che ormai e' "vecchia") ha usato un CAGAIO
    > di "open dns", richiedendo con relativamente
    > pochi pacchetti spoofati Udp, il trasferimento
    > della RIPE zone contro la vittima, producendo un
    > floodone UDP da una miriade di
    > sorgenti.


    ultra quotone su tutta linea Occhiolino


    Sul tema dello spamming, che SpamHaus cerca di combattere, bisognerebbe andare oltre, cioè a quello che si potrebbe fare e non viene fatto.

    Una delle fonti per cui lo spamming abbia vita relativamente facile è la mancata buona volontà degli ISP e fornitori di servizi che si ostinano a non usare l'Egress Filtering (sui propri router di confine) per bloccare (buona parte de)gli spammers sulla porta TCP 25 dei propri mail-server.

    Innumerevoli organismi ed organizzazioni inerenti la sicurezza in rete ne hanno caldeggiato l'uso da svariati anni in quanto sarebbe un'arma relativamente facile da usare contro il cancro dello spam, ma ... penso che ne dovrà passare ancora altrettanto prima che finalmente venga presa in considerazione.

    Non rappresenterebbe la panacea, ma di certo darebbe del buon filo da torcere rallentandone gli effetti e si darebbe una mano a SpamHaus et similia ... e a noi tutti.
  • Non servirebbe a niente
    Ormai il bulk spam non è più il problema perchè il 99% viene gia fermato dai filtri attuali dei server.
    E in più metti in testa ai provider questa pericolosa idea di filtrare contenuto gia nei router alla maniera cinese.
    non+autenticato
  • - Scritto da: AxAx
    > Non servirebbe a niente
    > Ormai il bulk spam non è più il problema perchè
    > il 99% viene gia fermato dai filtri attuali dei
    > server.

    fonte/i della notizia, please



    > E in più metti in testa ai provider questa
    > pericolosa idea di filtrare contenuto gia nei
    > router alla maniera
    > cinese.


    mi perdonerai, ma sono le tue indicazioni a mettere in testa a chi legge inutili ossessioni: i filtri Egress in uscita dalla rete del provider non filtrano contenuti, solo le intestazioni, quindi non esiste questo pericolo.
    E comunque a fronte di un possibile risultato positivo è un rischio che personalmente mi sentirei anche di correre.


    Se oltre all'Egress Filtering (che sta solo alla base del tentativo di difesa) venissero usati degli algoritmi che facessero sapientemente uso anche del Netflow/Snmp bandwidth-monitoring a seguito di un attento controllo delle attività nei log, direi che si potrebbe combattere il problema con un certo punto di vantaggio rispetto a quanto (poco) fatto finora.