È già stato definito dai media di tutto il mondo come il più grande attacco di tipo DDoS mai subito finora dalla rete Internet e ad esso oggi il New York Times dedica un ampio reportage.
Questi i fatti: il gruppo olandese Spamhaus, che si batte per combattere lo spam, e la società che ne gestisce il sito web sono stati vittima di un escalation di attacchi spam che hanno finito per superare i confini dei provider nazionali e spostarsi sui punti d’interscambio de traffico di rete internazionale. Gli attacchi sono iniziati lo scorso 19 marzo – dopo che Spamhaus aveva aggiunto alla sua blacklist di spammer Cyberbunker, un servizio di hosting accusato di ospitare server di spam- e sono stati generati da botnet come racconta sul suo blog CloudFlare, la società a cui si è rivolto Spamhaus per chiedere aiuto.
Il sito di Spamhaus è stato messo sotto attacco per giorni con l’evidente tentativo di provocare un Denail of Service. Inizialmente, racconta CloudFlare sul blog, le dimensioni dell’attacco sono state contenute (era stato generato un picco di traffico da 10 Gps) ma già lo scorso 19 marzo il picco di traffico era cresciuto a 90 Gbps, per raggiungere 120 Gbps sulla rete di CloudFlare il 22 marzo. CloudFlare ha cercato di distribuire il carico di tali attacchi lungo tutti i suoi data centre per evitare che il peso di così tanti Gigabyte di dati si riversasse sui server di Spamhaus.
A questo punto i cybercriminali hanno cambiato tattica e invece di attaccare direttamente i server di SpamHaus hanno iniziato a colpire il provider di rete Internet da cui CloudFlare ottiene la banda.
Sfruttando la topologia della rete Internet che funziona come un set di tante reti indipendenti connesse insieme nei cosiddetti punti di peering, i cybercriminali hanno avuto gioco facile nel colpire la rete di CloudFlare sia nei punti di interconnessione con altre reti sia nei cosiddetti Internet Exchange, i punti di interscambio del traffico Internet internazionale: in Europa i principali sono il London Internet Exchange, The Amsterdam Internet Exchange, The Frankfurt Internet Exchange, The Milan Internet Exchange.
Questo è quanto successo: quando gli spammer hanno realizzato che non riuscivano ad affondare la rete di CloudFlare e quindi Spamhaus, sono andati oltre i peer e hanno attaccato in prima istanza il provider che fornisce la banda a CloudFlare e poi da qui hanno raggiunto i provider di livello T1 (cioé quelli che non comprano connettività da nessuno ma la forniscono ad altri provider).
Questi carrier, non potendo distribuire il traffico su altre reti di provider, hanno dovuto subire il peso maggiore degli attacchi, e stando a quanto racconta CloudFlare, il picco di traffico subito dalle loro reti è stato pari a più di 300 Gbps. Una mole di dati che ha destabilizzato tutta Internet e ha fatto giustamente dire che è stato uno degli attacchi più pesanti mai subiti dalla Rete nella storia del Web. Come conseguenza sono andati fouri uso i siti di Netflix e sono stati colpiti gli Internet Exchange di Londra, Francoforte, Amsterdam e Hong Kong.
In realtà chi ha orchestrato questo attacco non disponeva della capacità di generare la quantità di traffico che ha poi investito le vittime designate (oltre 300 Gbps) e ha fruttato ad arte i tanti e troppi server DNS ricorsivi accessibili a chiunque, generando chiamate Dns fittizie. Una richiesta di risoluzione di dominio fatta da un server di tipo ricorsivo genera una quantità di dati che è di gran lunga superiore a quello della richiesta stessa; in questi casi quindi è il server che funge da amplificatore della quantità di traffico ed è per questo che tale tipo di attacchi viene chiamato DNS Amplifcation.