Une gigantesque attaque DDoS contre Spamhaus
jeu, 28/03/2013 - 11:23
Spamhaus serait depuis une dizaine de jours la cible de l'attaque en déni de service distribuée la plus importante connue sur Internet.
Le projet Spamhaus, géré par une association américaine à but non lucratif a pour but d'aider les fournisseurs d'accès Internet à lutter contre le spam. Spamhaus fournit des listes d'IP blacklistées grâce auxquelles les FAI coupent les spams à la source.
Spamhaus existe depuis assez longtemps. Alors pourquoi une attaque contre ce service seulement maintenant ? Il semblerait que ce soit Cyberbunker qui se venge d'avoir été récemment blacklisté par Spamhaus.
Cyberbunker est un hébergeur néerlandais, dont le nom vient du fait que son datacenter se situe dans un bunker d'une ancienne station relai de l'OTAN, aux Pays-Bas. Cyberbunker est connu pour être un hébergeur "tolérant", puisqu'il accepte tous les contenus tant que ceux-ci sont sans liens avec la pédophilie ou le terrorisme. Les spammeurs y sont donc bienvenus, et Cyberbunker est parfois surnommé le "paradis des spammeurs".
Sven Olaf Kamphuis, le patron de Cyberbunker, est incontestablement en rogne contre ce qu'il considère être les abus de Spamhaus, qu'il qualifie de "danger plus important que le spam". Il estime que "Spamhaus a emm.... des tas de gens ces dernières années en faisant du chantage aux fournisseurs d'accès à internet et aux opérateurs pour qu'ils déconnectent des clients sans la moindre décision de justice ou sans le moindre processus juridique"
L'origine de l'attaque DDos n'est pas formellement connue pour l'instant, mais selon nombre de spécialistes, ce serait Cyberbunker qui emploie les grands moyens, à savoir les siens, et en ayant également recours à de nombreux botnets loués pour l'occasion.
Jusqu'à ce jour les plus grandes attaques en DDos représentaient un débit entre 50 et 100 Gbit/s ce qui est déjà énorme.
Selon les experts, la présente attaque aurait été capable de maintenir un débit de 300 Gbits/s. Selon Kaspersky Mab : « Au vu de l’amplitude signalée de cette attaque, qui a été estimée à 300 gigabits par seconde, nous pouvons confirmer qu’il s’agit de l’une des plus importantes opérations DDoS à ce jour. »
Spamhaus, dont le site a été mis à mal au début de l'attaque, a demandé l'aide de CloudFlare, une entreprise qui fournit des protection DDoS avancées. Protection qui a fonctionné, et conduit les attaquants à changer de stratégie d'après le New York Times :
Mercredi, CloudFlare a décrit cela comme un jeu du chat et de la souris d'un haut niveau technique, entre l'entreprise elle-même et les opposant à Spamhaus. Après que les attaquants se soient aperçus qu'il ne pouvaient pas désactiver la protection de CloudFlare, qui a été louée par Spamhaus pour absorber le trafic de l'attaque DDoS, ils ont changé de stratégie.
Ils ont alors essayé de s'en prendre aux serveurs qui constitue l'épine dorsale du réseau. Les attaquants s'en sont ainsi pris à des organisations, à Londres, Amsterdam, Francfort et Hong-Kong, qui routent le trafic Internet et qui sont aussi utilisées par des sites comme Google ou Facebook ou encore Yahoo pour router efficacement leur trafic.
Sans pouvoir mettre Internet à mal, ils ont néanmoins réussi à le ralentir un peu. LINX, à Londres a connu une baisse significative du trafic qui passe dans son infrastructure.