10:31
16/2/2012

Atak na 13 root serwerów DNS został przez Anonimowych zaplanowany na 31 marca. Opublikowano dokument, który zawiera szczegółowy opis ataku oraz narzędzie umożliwiające jego przeprowadzenie.

Do czego służy 13 root serwerów DNS?

Słowem wstępu, root serwery DNS wskazują listę tzw. autorytatywnych serwerów DNS odpowiedzialnych za obsługę gTLD (global Top Level Domains), czyli domen .com, .org lub ccTLD, czyli domen narodowych takich jak .pl, .de.

Wchodząc na stronę google.pl, przeglądarka w tle kieruje zapytanie do ustawionego w systemie operacyjnym serwera DNS (zazwyczaj jego adres jest otrzymywany przez DHCP podczas startu komputera). Przeglądarka pyta systemowy DNS o adres IP na który wskazuje domena Google.pl. Systemowy serwer DNS, jeśli nie zna odpowiedzi (nie posiada jej w swoim cache’u) rozwiązuje domenę w następujący sposób:

    1. idzie do jednego z 13 głównych serwerów nazw i otrzymuje od nich dane dot. serwera nazw, który obsługuje domenę .PL

    Nameserwery Polski

    Nameserwery Polski

    2. idzie do serwera obsługującego domenę .pl i pyta o domenę google.pl
    3. otrzymuje informację, że domenę google.pl obsługują nameserwery ns1.google.com i ns2.google.com
    4. idzie do jednego z w/w serwerów i uzyskuje odpowiedź w postaci adresu IP
    5. nareszcie może połączyć się z serwerem Google i zażądać strony “google.pl”

#opGlobalBlackout – na czym polega atak?

Anonimowi do ataku na DNS-y chcą wykorzystać …inne serwery DNS. Swój atak w opublikowanej instrukcji obsługi nazywają “wzmocnionym i odbitym” (ang. reflective amplification).

DNS blackout (Anonymous DDoS)

DNS blackout (planowany przez Anonymous DDoS)

Atak polega na spoofing adresu źródłowego w datagramach UDP będących zapytaniami protokołu DNS. Zespoofowane pakiety mają być kierowanie na serwery DNS (nie root serwery). Ponieważ serwery DNS na stosunkowo małe zapytanie odpowiadają pakietami o większym rozmiarze mamy efekt “wzmocnienia”. A ponieważ odpowiedzi zostaną przesłane nie do atakującego, a do adresu jaki zespoofował — mamy efekt “odbicia”. Oczywiście zespoofowany adres należeć będzie do jednego z 13 głównych nameserverów.

Czy im się uda?

Problemy na jakie trafią Anonimowi to przede wszystkim TTL (cache) na lokalnych serwerach nazw. Internauci korzystają bowiem nie z root serwerów, a z DNS-ów swojego ISP (albo np. DNS-ów od Google). Te z kolei w dużej mierze cache’ują zapytania kierowane do root serverów (chodzi o szybkość). Aby “wyłączyć” internet, atak musi więc trwać tak długo, jak długo dane są trzymane w cache’u lokalnych serwerów nazw.

Żartobliwie mówiąc, jeśli Anonimowym nie udało się wyłączyć Facebooka (jak to niedawno zapowiadali), to nie ma szans, że “wyłączą internet” ;)

Niemniej jednak, historia zna przypadki udanych DDoS-ów na niektóre z głównych serwerów nazw — dlatego paranoikom, dla 100% pewności polecamy zapisanie sobie w /etc/hosts adresów IP ulubionych stron internetowych ;)

PS. Na marginesie, w 2003 tylko 2% ruchu do root serwerów DNS było ruchem “legalnym”


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

74 komentarzy

Dodaj komentarz
  1. Ten atak na Facebook się w ogóle odbył?

    • Nie, dlatego na początku zdania stoi “żartobliwie” – a opis dlaczego atak się nie odbył jest podlinkowany w tym zdaniu.

  2. A dla Win w %SystemRoot%\system32\drivers\etc\hosts :)

  3. Warto jednak zaznaczyć, że faktycznie fizycznych serwerów root jest znacznie więcej niż 13 a dostęp do nich jest realizowany przez tzw. Anycast http://en.wikipedia.org/wiki/Anycast – szczegółowe informacje zawsze na http://root-servers.org (w tej chwili raportowanych jest ponad 250 serwerów).

    • Na Wikipedii jest nawet słitfocia mirrora jednego z root NS-ów…

    • łatwiej by im było wstrzyknąć parę kluczowych /24 do routingu niż atakować dns.

    • Ponieważ serwery DNS na stosunkowo małe zapytanie odpowiadają pakietami o większym rozmiarze mamy efekt “wzmocnienia”
      fakt zadna wiki nie podpowie jak przedtlumaczyc powyzsze wodolejstwo :) choc to nic innego jak: “dodatnie sprzeżenie zwrotne”

    • @asq: 2 pytania.
      1. really? łatwiej by RHI zrobić?
      2. podaj dwa /24 które by kuku zrobiły tzw ęternetowi. Dwa.

  4. Trzymam kciuki, jednak czemu oni zawsze sie chwala tak miesiac wczesniej o wszystkich planach… dajac tylko czas na to by sie jakos zabezpieczyc. Nie dziwota pozniej ze nic nie wychodzi ;/

    • Trzymasz kciuki? A co ty z takiego udanego ataku bedziesz miec? Cieszysz sie, ze bedzie draka, czy co?
      Jak lubisz przeszkadzac ludziom bez powodu to proponuje stanac na srodku autostrady i zatrzymywac auta.

  5. Hm, u mnie to /etc/hosts :)

  6. Kiddiez będą mieć większy problem do przeskoczenia – anycast. Powodzienia:)

  7. @Dawid: miało być dla paranoików a paranoicy nie używają windowsa bo przecież ich śledzi ;)

    @Niebezpiecznik: skąd macie dane n/t ruchu do rootDNS’ów w 2003?

    • Z tego pdfa, ktory podlinkowalismy pod “2%” :)

  8. Trzeba odpytać przez domowy DNS o wszystkie najpopularniejsze adresy i trzymać cache ile się da :D

  9. No tak… obrońcy wolnego internetu sami chcą go wyłączyć ;)

    • Mylisz ludzi bawiących się w anonimowych, walczący przeciwko ACTA-srakta a prawdziwych anonimowych, którzy trollują świat, zrodzonych na 4chanie.

  10. coraz bardziej wydaje mi sie ze to sa po prostu dzieciaki z bombą atomową. pomijajac czy atak taki jest mozliwy, wyobrazmy sobie ze sie uda. wyobrazmy sobie, ze wtedy bedzie trwac jakas operacja na sercu konsultowana online (a na pewno bedzie, bo to juz jest na porzadku dziennym – miejmy tylko nadzieje ze takie rzeczy idą po prostu po ip)

    • Ludzie są niedouczeni i plotą bzdury. Komunikatory nie korzystają z globalnych serwerów DNS… Pewnie dlatego, że komunikatory nie korzystają z DNS…

  11. To już bardziej realne by było wziąć kilof i akwalung, zanurkować i przedziubać kable na dnie oceanów :P

  12. Tylko adresy IPv4 biorą pod lupę? No to ja nie mam się czego obawiać – jest już sporo root-serverów na IPv6 i spokojnie mogą mi służyć, także dla requestów dotyczących IPv4 ;)

  13. Dziwic moze to, ze nie podaliscie POWODU dla ktorego Anon. mieliby to zrobic, a to rzecz absolutnie kluczowa w tego typu doniesieniach.
    Jest to wprawdzie zawarte kiepsko widoczna czcionka na zrzucie, ale ludzie zloci …
    przyzwoitosc dziennikarska nakazuje konstruowac artykuly w okreslony, logiczny sposob. W takich sytuacjach wychodzi brak wyksztalcenia humanistycznego, lub przynajmniej wszechstronnego u specjalistow okreslonej branzy.

    • Powód równie idiotyczny, jak wszystkie poprzednie. Równie dobrze ktoś, kto ukradnie 100 koła z bankomatu może powiedzieć, że zrobił to w zemście za ACTA. Uciążliwość akcji, jaką planują anonimowi dla bankierów, itd. jest niewielka. Za to dla zwykłych ludzi znaczna(oczywiście zakładając, że im się uda, co jest mocno wątpliwe).

      Moim zdaniem techniczny portal nie musi zajmować się ideologicznymi pobudkami grupy nastolatków. Jak ktoś chce poczytać o problemach dorastania trudnej młodzieży to niech kupi zwierciadło.

    • SOPA, bla bla, bogaci, bla bla.
      Tylko że cel ataku ma niewiele wspólnego z tymi, w których ma uderzyć, jak to często u Anonów bywa…

    • Bankierzy, to akurat dobry powód :-P Nawet bym się przyłączył, gdyby to był rzeczywisty atak na bankierów, a nie na moją babcię czytającą NK ;-)

    • Hahaha dobrze Matja prawi o ideologii trudnego życia nastolatka

    • Coraz bardziej mi się wydaje, że niestety nie potrafią oni zrobić niczego konstruktywnego. Tylko rozwałka ukryta za hasłami ratowania świata. Jak u terrorystów. Niedługo w ramach protestu przed złymi bogatymi / prawnikami / ACTA / blablabla zostanę wysadzony w powietrze jadąc przez centrum miasta, razem z panem Stefanem co pracuje za 7zł/h – bo walka z elitami w końcu zobowiązuje.

      Poza tym znam paru bankierów. Fajni goście. Ciężko pracują i zarabiają dobre pieniądze. No, ale zarabiają więcej od Anonów, więc są źli. Bo tak twierdzi wolność słowa. Pff, litości…

    • Taki z ciebie “chumanista” a patrz na swój mało logiczny zlepek słów pisany tak, jakby nad tobą stał SSsman ;)

  14. Nie ma co, mierzą wysoko. Może na początek zwalczyliby cenzurę w Chinach albo Iranie, tak na rozgrzewkę, a dopiero potem ratowali cały świat?

  15. Bez sensu. Po co chcą “wyłączyć Internet” i jak bez niego będą używać LOICa? :)

    • …wpisując IP w pole target?

  16. W sumie nic nie stoi na przeszkodzie, aby każdy ISP blokował ruch wchodzący -> dst-port:53, src-IP: root-serwer. Root-serwery nie są w końcu rekursywne, więc nie ma sensu puszczać z nich ruch.
    Swoją drogą kiedyś było parcie na ISP, aby uniemożliwiali spoofing zezwalając na ruch wychodzący tylko z IP z ich puli. Jak to działa, powiedzmy w skali kraju, nie wiem. A jak to wygląda u Was ?

  17. A czemu paranoikom nie radzicie zmirrorowania sobie Wikipedii i zapisania na kartce adresów różnych rzeczy, i w ogóle robienia zapasów gazu i benzyny? To /etc/hosts to niegroźna abstrakcja. A może groźniejsze jest, że lokalny sklep spożywczy nie będzie miał dostawy towaru w takich okolicznościach czy cokolwiek jeszcze da się wyprowadzić jako ciąg przyczynowo-skutkowy

  18. ambitnie ;) ale się zapewne nie uda….

  19. Lepszym pomysłem byłoby stworzenie alternatywnych root serwerów, niezależnych od amerykańskich władz.

    Ciekaw jestem czy Anonimowi rzeczywiście walczą w obronie wolności ludzi, czy może jest to taka internetowa al-Qaeda stworzona przez CIA żeby uzasadnić ograniczenia i większą kontrolę w Intennecie.

    • OpenNIC – demokratycznie zarządzany niezależny root dns?

  20. ech, muszę zapisać sobie adres RT. Tyle wystarczy :>

  21. Heh – dla mnie “Anonymous” to zwykłe dzieci… Ich operacje są dla mnie żałosne z czym pewnie zgadza się większość użytkowników. Polskie Podziemie też wypowiada się tak samo jak ja o tych pro-uber-neo-kids i mają rację…

    Wg mnie anonimowi nic nie planują zrobić – dając wskazówki jak przeprowadzić atak i czym to zrobić myślą że miliony dzieciaczków spróbuje swoich sił jako hakier… choć dla mnie to nawet to by się nie udało – załamka :/

  22. hello niewiem czy anonimowi czytajom w mojej głowie ale “my” ^.^ podobny atak szykujemy w polsce lecz troche prostrzy :P
    niestety niemoge powiedzieć zbyt wiele bo jesteśmy w trakcie przygotowań ale zdradze rze to niebendzie atak typowo informatyczny (nieznosze słowa chakerski) poprostu serwery zaprzestanom swojej działalnosci :P

    mamy dosć polskich anonimowych robiom wiencej wstydu nirz porzytku

    pozdro dla niebezpiecznika SUPER STRONA

    sory za błendy ortograficzne ale niemam czasu pisać bez błędów

    WŁAMUJĄ SIĘ HAKERZY “” A MY KARZEMY SURO KARZEMY””

    • “sory za błendy ortograficzne ale niemam czasu pisać bez błędów”
      Jeśli potrzebujesz czasu żeby pisać bez błędów, to radzę, zamiast siedzieć przed kompem i udawać pr0 h4x0ra, pouczyć się trochę.
      Obecnie każda z popularniejszych przeglądarek ma do tego sprawdzanie pisowni. Jak widzę – jest ci to obce. (Czyżbyś korzystał ze starego IE? O ile mi wiadomo to on nie miał sprawdzania pisowni. IE9 chyba już ma… Nie wiem dokładnie, bo nie korzystam.)

      “to niebendzie atak typowo informatyczny (nieznosze słowa chakerski) poprostu serwery zaprzestanom swojej działalnosci”
      Oj, już się boję. Planujecie odciąć prąd w całym kraju? Bo to chyba jedyny ‘nieinformatyczny’ sposób żeby wszystkie polskie serwery na raz ‘zaprzestały swojej działalności’.

    • Heh, “nie masz czasu pisać bez błędów”. Nieźle kłamiesz ;) gdyby tak było nie tracił byś czasu na postawienie zbędnego “c” przed “hakerski”, a zamiast błędnego RZ stawiał Ż lub Z tam gdzie trzeba. Watpie żeby takie dziecko jak ty dało radę chociaż położyć 1 stronę internetową, nie mówiąc już o całym HTTP.

  23. No cóż, gdyby nie te dzieciaki to o wielu ważnych sprawach “zwykli ludzie” nie dowiedzieliby się. Metody działania niektórym ludziom nie odpowiadają, jednak porównywanie Anonymous z terrorystami i zamachami bombowymi świadczy o zupełnej ignorancji :|

  24. Takie zapowiedzi to tylko po to, by władze USA i Unii Europejskiej ale też innych państw zyskały argument za wzmocnieniem kontroli nad internetem (czytaj mniej lub bardziej udanymi próbami naruszenia wolnosci słowa i nadużyć przy ściganiu piratów, którzy po bliższym oglądzie sprawy nie zawsze piratami są).

    • Czyli USA i kilka państw sprzymierzonych zaplanowały to, aby ukierunkować niezadowolenie społeczne na swoją korzyść i zyskać poparcie dla niecnych praktyk w przyszłości? Coś jak naziści atakujący własną radiostacje przed 2WŚ?

    • To nie jest takie głupie, zresztą już ktoś na niebezpieczniku o tym pisał – Anonów łatwo zmanipulować, wystarczy prowokator którzy rzuci hasło na 4chan “atakujemy to i to” a oni radośnie odpalają LOIC dostarczając dowodów na to, jaki Internet jest zły i niedobry.
      Zresztą z tego co widzę to też fake, czyżby anoni połapali się, że mają kreta? ;)

  25. Biorąc pod uwagę, że wszytko ma się odbyć przez sieć Tor, to albo nie starczy im pasma, albo zdziwią się, gdy administratorzy węzłów Tor trochę przeszkodzą w akcji…

    Zresztą, mogliby mieć jaja, a nie znowu nadużywać i psuć reputację Torowi…

  26. Oraz: sieć Tor nie przenosi pakietów UDP o których mowa w ataku, więc albo hoax, albo małolaty znowu nadstawią karku i ruch pójdzie z ich IP. I będzie płacz…

  27. Zrobię sobię zrzut adresów najczęściej używanych przeze mnie stron, albo postawię sobie lokalnie serwer DNS :3

  28. Ja 30 marca zapiszę sobie na dysku wszystkie strony, które będę chciał oglądać 31 marca:)

    • Wędruj wraz z strefami czasowymi :) Bo w różnych częściach świata zaatakują o innym czasie :D

  29. Wyślij maila z prośbą do Chucka Norrisa, to Ci backup internetu na CD wypali :P

  30. Chłopaki jak można ominąć wiresharka żeby moje pakiety przez niego nie przechodziły w firmie?

  31. Spróbuj może wykorzystać algorytm opisany w RFC 2549.

  32. Gdyby wszyscy dostawcy Internetu dla enduserów byli odpowiedzialni, blokowaliby pakiety z niewłaściwymi adresami źródłowymi…

  33. Wypowiedź Anonymous z przed 10 minut – “Operation Global Blackout” is fake. Probably created by the same people who started “Operation Facebook” which never happened.”

    • Anonymous powiedzieli ze to fake? Przezciez Anonymous nie maja dowodcy, kazdy nim moze zostac, takze tez nie ma centralnego dowodzenia/czy tez pisania newsow… a tutaj mowia, ze to fake.. O’RLY?

    • Co nie co jest publikowane na:
      https://twitter.com/#!/anonymouswiki
      Nigdzie nie stwierdziłem, że są grupą scentralizowaną z wybranym “dowódcą”. Równie dobrze nie powinny być publikowane nigdzie posty czy też newsy, iż Anonimowi mają w planach to czy tamto, bo to równie dobrze ja czy każdy inny user z dostępem do internetu możemy napisać, iż planujemy atak ;).

  34. hmm… ale cos mi sie zdaje ze przepustowosc calego tora jest duzo mniejsza niz rurka ktora jest podpiety pojedynczy root serwer…

    • kto ddosuje stojac za torem?

  35. A co z ipv6 root serverami? Je także można pytać o ipv4 i jest ich więcej

  36. “Aktualizacja 22:00
    Oficjalne konto Anonimowych na Twitterze odcina się od tej akcji.”
    Sami to napisaliście.. To była zwykła plotka..

    • Doskonale wiemy, co napisaliśmy.

    • Jeśli doskonale wiecie co napisaliście to dlaczego musiałem przeczytać komentarz OMfgHax żeby się o tym dowiedzieć zamiast dostać tak kluczową informację na początku artykułu?

  37. Nie lepiej było by namieszać w tablicy BGP? Wtedy mogli by rozwalić wszystko co idzie przez IP. Z tego co się orientuję to coś takiego miało już kiedyś miejsce, ale dość szybko udało im się to naprawić. Problemem było by tylko zdobycie numery AS. Pisanie że są to “głupie dziecię”, nie za bardzo mi się podoba, bo jeśli chodzi o ataki na gov.pl to były jak najbardziej słuszne, nie atakowali “czyjejś babci na NK”, tylko nagłośnili całą sprawę. Jeśli chodzi o wiedzę tych “dzieci”, to uważam że jest to tania siłą robocza, tak jak w fabryce, jedni stoją przy taśmie, a inni czytają specyfikacje i projektują jakieś części. Ten atak na pewno nie wypali, dlatego że te 13 root serwerów to rozproszone klastry i tak naprawdę serwerów jest baaaardzo dużo (o ile się nie mylę w Polsce są “aż” 2). Co innego atak na serwery domeny pl (8 fizycznych serwerów – *-dns.pl) i lokalne cache (np. TP SA), ten mógłby się udać jeśli DDoSowali by wszyscy którzy uczestniczyli w akcji #OpMegaUpload.

  38. Robia szum,by nie zniknac z sceny.
    Chca pokazac,ze jest cos teoretycznie realne do zrobienia i tyle.
    Zastanawiam sie,czy nie ma ta sprawa przypadkiem drugiego dna-czesc zarzadzajacych moze tak pro forma podjac srodki zaradcze na wypadek,gdyby sie jednak zdecydowali.
    Moze anonimowi licza na jakies konkretne wdrozenia,w ktorych jest jakas luka?
    Takie nieco Mitnick’a podejscie-nie da sie gdzies wejsc,to trzeba przekonac nieswiadomego zarzadce,by zmienil zamki na takie,do ktorych mamy klucze ;)
    Plotka i tak juz pewnie ma swoje reperkusje-skierowala uwage na “wlasciwe” tory-oby w tym samym czasie nie odwineli lepszego numeru gdzie indziej.

  39. http://dns.pl/map.html

    tu macie ile jest serwerów dla samej .pl – w sumie coś w okolicy 40 sztuk rozsianych po świecie

    • Tego bym się nie spodziewał, myślałem że każdy adres to fizyczna maszyna, a nie klastry. W takim razie nawet tego nie uda im się tango down.

      PS Co mi grozi na przeprowadzenie nieskutecznego ataku DoS (nie DDoS) na stronę prezydent.pl? Wtedy Anonymous skupił się na innej stronie, a ja z głupoty chciałem zobaczyć jak działa ten ich JS LOIC :D Tak, wiem że nie było to mądre… Mogę spodziewać się kipiszu w moim mieszkaniu z udziałem ABW?

  40. Jak ja bym chciał wiedzieć o czym piszecie.

  41. http://youtu.be/03F-0-tzLIA
    Wszystko ladnie opisane, nie wierze ze dzieki cache memory jeszcze wszystko sie trzyma haha :P

  42. Na Interii czytałam, że Anonymous już się z tego wycofali. Zresztą tak samo było z rzekomym zniszczeniem Facebooka: zapowiadali, zapowiadali, a skończyło się niczym.

  43. […] o ataku Botnet wykorzystał do ataku znaną od lat amplifikację DNS, która polega na wysłaniu zespoofowanego pakietu do serwera DNS, który w odpowiedzi zwraca 100 […]

  44. […] atak to DNS Amplification — opisaliśmy go w tym artykule a także podczas omawiania “ataku który spowolnił […]

Odpowiadasz na komentarz Jajcuś

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: