211service.com
Enorme internetstoring kan een teken zijn van wat komen gaat
Op vrijdagochtend hadden grote delen van de VS te maken met een grote internetstoring - en het was het soort grootschalige verwijdering dat beveiligingsexpert Bruce Schneier onlangs voorspelde.
De storing, die vooral de VS en voornamelijk de oostkust lijkt te hebben getroffen, begon om ongeveer 07:10 uur ET op vrijdag . Onder de sites die leden, waren Twitter, Reddit, Spotify, de New York Times , en zelfs die van ons. (Update: een tweede aanval trof Dyn om 11:52 uur ET. Er wordt aan gewerkt om het probleem op te lossen.)
Het lijkt te zijn veroorzaakt door een grote gedistribueerde denial of service (DDoS) -aanval op de servers van de domeinnaamsysteem (DNS) -host Man . Een DDoS-aanval overspoelt een server meestal met gegevensverzoeken om te voorkomen dat normale gebruikers hun eigen vragen beantwoord krijgen. De DNS is een grote database die onder meer een eenvoudige domeinnaam omzet in een complexer IP-adres waaruit gegevens kunnen worden opgevraagd. Het uitschakelen van een DNS-server betekent dat de browser van een gebruiker deze niet kan gebruiken om te bepalen vanaf welk IP-adres de bestanden van een webpagina moeten worden opgehaald.
Dyn lijkt snel op de storing te hebben gereageerd, de aanval af te zwakken en de functie van zijn DNS-records in ongeveer twee uur te herstellen. Maar gedurende die tijd vonden veel gebruikers het onmogelijk om sommige pagina's te laden en het siteverkeer daalde dramatisch.
DDoS-aanvallen zijn niets nieuws. Maar Schneier heeft erop gewezen dat ze binnenkort steeds problematischer kunnen worden. Onlangs hebben enkele van de grote bedrijven die de basisinfrastructuur leveren waarmee internet werkt, een toename gezien van DDoS-aanvallen op hen, hij uitgelegd in een blogpost . Deze aanvallen zijn aanzienlijk groter dan degene die ze gewend zijn te zien. Ze gaan langer mee. Ze zijn geavanceerder.
Schneier wees er vorige maand zelfs op dat een nieuwe golf van aanvallen ook meer onderzoekend lijkt dan eerdere DDoS-aanvallen. Veel van de aanvallen lijken servers te testen in plaats van ze offline te halen, door geleidelijk het spervuur van verzoeken op het ene deel van de server op te voeren om te zien wat het kan weerstaan, en vervolgens door te gaan naar een ander, en nog een. Schneier waarschuwde dat iemand leert hoe hij het internet kan uitschakelen.
De Dyn-aanval was duidelijk meer dan een test, en de ernst ervan past zeker in de hypothese van Schneier dat iemand ergens probeert te leren hoe hij wijdverbreide ontwrichting kan veroorzaken. De vraag wie er achter dit soort aanvallen zit, blijft echter onbeantwoord. Het is onwaarschijnlijk dat criminelen door dergelijke aanvallen worden gemotiveerd, omdat er weinig anders bij te winnen valt dan wijdverbreide verstoring. Dat geeft enig gewicht aan de suggestie van Schneier dat een grote natiestaat, zoals China of Rusland, grootschalige DDoS-mogelijkheden zou kunnen ontwikkelen. Hoewel het onmogelijk is om met zekerheid te zeggen.
Het goede nieuws is dat de DNS per definitie een gedistribueerde database is: kopieën van dezelfde informatie zijn overal op internet te vinden. Dat maakt het redelijk robuust. Maar zoals het Dyn-incident onthult, kost het nog steeds tijd voor DNS-hosts om te herstellen van aanvallen. Als hackers meerdere servers tegelijk zouden uitschakelen, zou het effect nog groter kunnen zijn - een dreiging die nog kan worden gerealiseerd.