A história por trás do maior ataque DDoS da história que atingiu o coração da internet

seguranca

Se você teve dificuldade em usar alguns serviços na internet nos últimos dias, saiba que pode não ter sido só um problema na sua conexão. Pode ter sido muito mais do que isso.

Enquanto vivemos nossas vidas com tranquilidade, uma disputa entre um grupo anti-spammer e uma empresa holandesa de hospedagem de sites gerou um dos maiores ataques DDoS da história e atingiu praticamente o mundo inteiro. E o caso é muito mais complicado do que uma demora para carregar um vídeo no Netflix: esta guerra cibernética colocou em risco os pilares que mantém a internet funcionando.

A briga

Segundo o New York Times, um grupo anti-spam chamado Spamhaus adicionou uma empresa holandesa chamada Cyberbunker à sua lista negra que é usada por provedores de e-mail para definir o que é ou não spam (ou o que tem mais chance de ser).

A Cyberbunker oferece hospedagem para qualquer tipo de site “exceto pornografia infantil e qualquer coisa relacionada a terrorismo”, segundo o site deles. E o Spamhaus diz que nos servidores da Cyberbunker estão materiais usados por spammers, e ainda foi mais longe acusando a empresa de estar ligada a grupos criminosos do leste europeu.

Foi a partir daí que os ataques começaram – eles supostamente são uma forma de retaliação pela inclusão da Cyberbunker na lista negra. Eles já duram mais de uma semana e, por mais que o pico já tenha passado, eles chegaram a níveis inacreditáveis.

O ataque

No dia 18 de março, o Spamhaus entrou em contato com o CloudFlare, uma empresa de segurança na web, para alertar sobre um ataque que estava sendo feito contra o seu site. O CloudFlare rapidamente atenuou o ataque, que já gerava aproximadamente 10Gbps de tráfego. No dia seguinte, ele ficou ainda maior e chegou a picos de 90 Gbps, e variou de 30 Gbps a 90 Gbps até o dia 21 de março.

Os ataques cessaram por um tempo, e voltaram na noite do dia 22 de março. Eles então chegaram a 120Gbps de tráfego, e assim continuaram por quatro horas. Neste momento, ele já era um dos maiores ataques DDoS registrado pelo CloudFlare, mas era apenas um ataque DDoS, algo comum por aí, acontece todo dia. Não foi o suficiente para derrubar o CloudFlare, e isso aparentemente irritou os responsáveis pelo ataque.

E então ele ficou pior.

Em vez de tentar derrubar o CloudFlare diretamente, eles foram atrás de quem mantém o CloudFlare no ar. O problema é que quem mantém o CloudFlare no ar é quem mantém a internet funcionando. Aí a coisa começou a complicar bastante. No blog da empresa, Matthew Prince explica detalhadamente o ataque:

“Assim que os invasores perceberam que não conseguiriam derrubar o CloudFlare mesmo com mais de 100Gbps de tráfego, eles foram atrás dos nossos peers. Neste caso, eles atacaram os provedores de quem o CloudFlare compra banda. Nós, principalmente, contratamos o que é conhecido como provedor nível 2 para a nossa banda. Essas empresas se conectam a outros provedores e também compram banda dos chamados provedores nível 1″

As redes nível 1 (conhecidas como Tier 1) estão no topo da “hierarquia das redes”. Não há nada acima delas. Existe cerca de uma dúzia delas, e a sua existência é fundamental para a internet: elas garantem que todas as redes estejam conectadas. E, se uma delas falha, temos um grande problema. Logo abaixo estão os Tier 2 que fornecem interconexão entre si e compram banda do Tier 1 para garantir que possam conectar cada ponto da internet.

Os ataques DDoS foram direcionados às redes 2 e respingaram no Tier 1. O CloudFlare não conseguiu números exatos, mas um dos provedores principais de nível 1 sofreu com mais de 300Gbps de tráfego, o que faria dele o maior ataque DDoS já registrado. Os ataques continuaram crescendo nos dias seguintes e algumas redes Tier 1 chegaram a ficar congestionadas – principalmente na Europa, onde estão concentrados os ataques. Isso afetou sites que não têm relação nenhuma nem com o CloudFlare nem com o Spamhaus. Eles foram mais sentidos na Europa, mas atingiram o mundo inteiro.

Mas isso não era o suficiente.

Além da importância das redes Tier 1, os pontos de Internet Exchange Points (IXP) também são fundamentais para manter a rede funcionando. Estes pontos conectam múltiplas redes para passar a banda. E os ataques também foram direcionados ao coração da infraestrutura de IXP em Londres (conhecido como LINX), Amsterdam, Frankfurt e Hong Kong. O impacto maior no LINX que, no dia 23 de março, por mais de uma hora viu a infraestrutura que serve mais da metade dos 1,5Tbps de tráfego falhar.

linx_traffic.png.scaled1000

Pronto. Depois de fracassar ao tentar derrubar o CloudFlare diretamente, os ataques enfim conseguiram atingir a empresa: usuários de Londres começaram a relatar problemas causados diretamente pelos ataques.

O CloudFlare e o LINX então começaram a trabalhar para aumentar a segurança da rede e evitar que novos ataques similares ameacem novamente a internet. Por enquanto, parece que funcionou.

E agora?

Aparentemente os ataques cessaram – ou, ao menos diminuíram. Mas, quando chegaram ao seu pico, parecia até uma história de ficção científica. Eu consigo imaginar um filme de Hollywood com uma história parecida com “hackers atacam o coração da internet para tentar derrubá-la”. De certa forma, foi isso o que aconteceu nos últimos dias. Felizmente, eles não conseguiram causar nenhum dano maior (não parecia ser o objetivo deles, eles só queriam derrubar o Spamhaus e o CloudFlare). Mas fica para a história como um dos maiores e mais impressionantes ataques DDoS já registrados.

Fonte: GizModo