Cosa è successo
A gettare luce su quanto sta accadendo è la spiegazione nel blog della società di sicurezza informatica CloudFlare che in queste ore cerca di fermare l’offensiva. Scrive che Spamhaus ha iniziato a sperimentare verso la metà di marzo attacchi di tipo Ddos diventati insostenibili per le sue risorse: sono valanghe di dati che arrivano da più sorgenti, viaggiano verso un singolo sito web e impediscono l’accesso congestionandolo.
L’assalto contro Spamhaus era all’inizio di circa 10 Gigabit al secondo. Semplificando, è come se da più città fossero partite automobili dirette in massa verso un solo casello autostradale: il traffico intenso rallenta l’ingresso per tutti.
La strategia adottata per difendere Spamhaus ha portato alla dispersione dell’ondata dei pacchetti di dati. Nella precedente analogia è come se avessero indirizzato le automobili verso altri caselli nelle vicinanze, ingannate da un cambio di segnaletica lungo il percorso. Hanno adoperato tecniche di routing anycast. A questo punto i dati inviati durante il Ddos sono aumentati fino a picchi di 100 Gigabit per secondo. Ma le difese allestite erano sufficienti.
Il salto a 300 Gigabit per secondo
Gli attaccanti, però, hanno cambiato piano. Un network Tier 1 dice che sono stati in grado di generare una quantità di dati enorme fino a 300 Gigabit al secondo. Nella precedente analogia è come se il traffico sia stato così inteso da rendere difficile lo scorrimento anche in altri caselli più grandi in una vasta regione nelle vicinanze. Inoltre il risultato finale dell’ondata di dati può aver causato rallentamenti per utenti di internet del tutto ignari, soprattutto in Europa dove erano concentrati gli sforzi dei pirati informatici. CloudFlare punta il dito contro una falla nel Dns per spiegare come siano arrivati a 300 Gigabit al secondo.
Le conseguenze
Nel momento in cui viene scritto questo articolo l’impatto per gli utenti sembra limitato. Il pannello di controllo gestito da Akamai riporta congestioni nel flusso di dati su internet in aree del Benelux (Belgio, Lussemburgo, Olanda), in Gran Bretagna e in parte di Germania e Francia. In particolare, gli attaccanti hanno provato a mettere sotto pressione anche alcuni Internet exchange point: in Europa hanno mirato verso il London Internet Exchange, l’Amsterdam Internet Exchange e il Frankfurt Internet Exchange, come riporta CloudFlare.
Il servizio web Downrightnow non ha raccolto finora avvisi significativi di utenti che dichiarano difficoltà o interruzioni di servizio presso grandi piattaforme online, come i social network o gli spazi per lo streaming. Nessun problema segnalato per il momento in italia. Il Mix di Milano (il più importante punto di interscambio tra internet service provider, dove transita circa il 40% del traffico internet italiano) oggi non ha riscontrato alcun rallentamento. Stessa cosa per i provider italiani.
Le ipotesi sulle cause
Secondo le prime ricostruzioni il dito è puntato verso un contrasto iniziato due anni fa. Spamhaus aveva segnalato che un gruppo olandese di web hosting, CyberBunker, inviava anche email con messaggi indesiderati (spam), ad esempio per la vendita di prodotti contraffatti. E aveva ottenuto che l’internet service provider (Isp) locale tagliasse la connettività. Ma la società di web hosting dei Paesi Bassi aveva sempre negato le accuse. Di recente era sorto un altro motivo di discussione: Spamhaus aveva inserito di nuovo CyberBunker nella sua lista per i filtri antispam che bloccano la ricezione dei messaggi email.
Fonte Il Sole 24 Ore