Hace ya más de un año que The Spamhaus Project fue víctima del que, en su momento, fue considerado el más grande ataque distribuido de denegación de servicios. Los atacantes lograron enviar 300 gigabytes por segundo contra los servidores de nombres de dominio de Spamhaus





En abril de 2013, otro sospechoso, Sven Olaf Kamphuis de origen holandés de CyberBunker fue detenido cerca de Granollers,cerca de Barcelona, en España. Sven Olaf Kamphuis es el que se supone que fue el que dirigió el ataque a spamhaus



Los autores detrás del ataque emplearon un método conocido pero no usado frecuentemente de reflexión y amplificación DNS para generar un flujo enorme de tráfico DDoS dirigido contra Spamhaus. 

Un adolescente de 17 años de Londres se declara culpable de masivo ataque DDoS Spamhaus

Un joven de 17 años de edad colegial Londres que fue arrestado el año pasado se declaró culpable de una denegación de servicio distribuido (DDoS) de una ferocidad sin precedentes lanzado contra el servicio anti-spam Spamhaus y los intercambios de Internet, incluyendo el London Internet Exchange.

 

Dado que es un menor de edad, que no se puede dar su nombre completo. Es en realidad
el nick Narko alias, su nombe real: Sean Nolan McDonough.




Ha salido en libertad bajo fianza a la espera de la sentencia el 9 de enero, la declaración dijo:

  Un varón de 17 años de edad, de Londres tiene esta semana (miércoles 10 de diciembre) se declaró culpable de los delitos previstos en [el] Ley de Mal Uso de ordenador, lavado de dinero y hacer imágenes indecentes de niños, los delitos siguientes una investigación Agencia Nacional de la Delincuencia. Fue detenido en abril de 2013 tras una serie de ataques distribuidos de denegación de servicio (DDoS) que llevaron a la interrupción mundial de los intercambios y los servicios de Internet. En sus oficiales de detención incautado una serie de dispositivos electrónicos. Ha sido rescatados hasta el 09 de enero 2015 a la espera de la sentencia.

 Él admitió haber tenido una mano en los mayores DDoS jamás registrada: una que a veces se informó a ser tan grande como 300 gigabits por segundo.

Tradicionalmente, incluso grandes botnets sólo son capaces de ofrecer cientos de megabits o unos pocos gigabits por segundo.

De hecho, "narko" aparentemente tenía £ 72.000 (entonces de 105.000 dólares) en el banco en el momento de los ataques – no es una mala nido-huevo para un joven de 16 años de edad, – además de 1.000 números de tarjetas de crédito robadas en su ordenador. 

El ataque a SpamHaus en 2013

La historia del ataque que ocurrió el entre el 18 y el 22 de Marzo de 2013 , provocando una ralentización generalizada de internet incluso afectando a nodos centrales de internet.

Quién es quién:

Historia del ataque DDoS a SpamHaus

El 18 de de marzo, Spamhaus, se puso en contacto con CloudFlare, un CDN (servicio de distribución de contenidos) especializado en mitigar ataques, para pedirles ayuda con un ataque DDoS que estaban recibiendo, por aquel entonces de 10 Gb/s. A partir de ese momento, CloudFlare pasó a recibir las peticiones dirigidas a Spamhaus, pudiendo mitigar el ataque inicial a través de su red de anycast.


Aparte de la escala, que ya era uno de los mayores ataques DDoS que jamas habían visto, no había nada particularmente inusual sobre el ataque a este punto. A continuación, los atacantes cambiaron de táctica. En lugar de atacar a Spamhaus directamente, empezaron a perseguir a  diversificar también sus objetivos apuntando hacia los puntos neutros. Los puntos neutros son puntos de interconexión entre distintas redes. Si consiguen tirar un punto neutro, o incluso si consiguiesen tirar un Tier, las consecuencias podrían ser más que notables. Por suerte, parece que «solo» consiguieron congestionar el punto neutro de Londres en algún momento, al parecer, debido a una configuración demasiado permisiva del punto neutro. Otros puntos neutros atacados fueron los de Amsterdam, Fráncfort y Hong Kong.

Cómo se hizo el ataque DDoS a SpamHaus

Unas horas después de que la BBC hablase sobre “el mayor ataque a Internet de la historia” CloudFlare escribió un extenso post sobre “el ataque que casi acaba con Internet”.

El ataque ha sido un tipo de ataque smurf conocido como amplificación DNS (DNS Reflection)

El ejemplo típico es aquel en el que quieres atacar un equipo de tu misma red y para llevarlo a cabo haces ping a la dirección de broadcast haciendo spoofing de la dirección IP de origen para que las respuestas vayan dirigidas a tu víctima. Así, si en tu red hay conectados 10 equipos y envias un paquete ICMP request a la dirección de broadcast con la dirección IP de la víctima, esta recibirá 10 respuestas ICMP reply. Si repetimos esta operación 1.000 veces, la víctima recibirá 10.000 paquetes. Si repetimos la operación 10.000 veces, conseguiremos que a la víctima le llegue un tráfico de 70 MB habiendo generado nosotros sólo 380 KB.

Open DNS Resolver Project dice que hay hasta 25 millones de servidores potencialmente vulnerables.

Fuentes:
http://www.securitybydefault.com/2013/03/como-cyberbunker-ataco-spamhaus-y-casi.html
https://krebsonsecurity.com/2016/08/inside-the-attack-that-almost-broke-the-internet/