To Chińczycy wyłączyli GitHuba?
Ślady wielkiego ataku DDoS, w wyniku którego serwis GitHub był wyłączony przez ponad 5 dni, prowadzą do Chin. Do takiego wniosku doszli niezależnie od siebie specjaliści z dwóch organizacji. Celem ataku były dwie konkretne witryny – antycenzorska GreatFire.org oraz mirror chińskiego wydania The New York Timesa. Ucierpiała jednak cała sieć GitHuba.
Eksperci ze szwedzkiej firmy Netresec przeanalizowali fragmenty kodu JavaScript, którymi cyberprzestępcy zarazili komputery biorące udział w ataku. Zauważyli, że kod najpierw został wstrzyknięty na serwery korzystające z narzędzi analitycznych chińskiego serwisu Baidu. Stamtąd trafił na komputery ofiar. Nie łączył się jednak z siecią Baidu, ale otrzymywał polecenia z innych serwerów. Atak pokazuje, jak aktywna i pasywna infrastruktura znana jako Wielki Chiński Firewall, może zostać wykorzystana do przeprowadzenia potężnego ataku DDoS. Wielki Firewall nie może być zatem postrzegany jedynie jako narzędzie do nadzorowania i cenzurowania ruchu w chińskim internecie, ale również jako platforma służąca do przeprowadzania ataków DDoS za pośrednictwem komputerów niewinnych ludzi, którzy odwiedzają chińskie witryny - stwierdzili eksperci z Netreseca. Zauważyli oni, że oprócz pakietów wysyłanych przez Baidu, których TTL wynosił 42, pojawiają się też pakiety o TTL 227, 228 oraz 229.
Kolejnych dowodów dostarczyli specjaliści z GreatFire. Ich zdaniem taki sposób opisania ataku był możliwy tylko dzięki wykorzystaniu chińskiej sieci szkieletowej. W przygotowanym przez nich raporcie czytamy: Jeśli nawet to nie CAC (Cyberspace Administration of China) przeprowadziła atak, to są oni odpowiedzialni za to, co się dzieje w chińskim internecie i nie jest możliwe, by o ataku nie wiedzieli. Atak odbył się za zgodą CAC i Lu Weia, którzy zwiększyli siłę tego ataku. Wielki Firewall został przełączony z trybu pasywnego filtra w tryb aktywnej agresywnej infrastruktury. To przerażające działania, a wyniki tych działań wykraczają poza zwykłą kontrolę informacji. Jednym szybkim ruchem chińskie władze są w stanie przełączyć infrastrukturę z trybu cenzurowania internetu w Chinach na cenzurę ogólnoświatową. CAC może szybko i łatwo przeprowadzać podobne ataki, a ma zasoby techniczne i finansowe, by przeprowadzić atak DDoS na dowolną witrynę na świecie - czytamy w raporcie GreatFire.
Komentarze (1)
topiq, 1 kwietnia 2015, 12:17
Jednostką TTL nie jest sekunda, tylko hop (przeskok z routera na router):
https://pl.wikipedia.org/wiki/Czas_życia_pakietu