internetaanval

[Cees de Groot]

REPLY TO: D66 at nic.surfnet.nl

Tjerk Jouwstra <tjouwstra at wxs.nl> said:
>Wie kan mij uitleggen, hoe het kan, dat wereldwijd een aanval gedaan kan =
>worden op het internet.

Da's simpel - dankzij de zegeningen van Microsoft's kwaliteitssoftware zijn
miljoenen computers op de wereld dermate belabberd beveiligd dat een kleine
groep mensen ze over kan nemen, op afstand kan besturen, en van
honderdduizenden computers tegelijkertijd heel veel verkeer naar de
aangevallen machines sturen. Hierdoor raken deze overbelast en worden
onbereikbaar ('denial of service'). Iemand heeft zo ooit in zijn uppie een
paar jaar geleden Yahoo!, Amazon, en andere 'major' sites effektief
platgelegd.

Wat opviel was dat deze aanval vrijwel precies een uur duurde. Dus
iemand was waarschijnlijk aan het testen, voor wetenschappelijke dan
wel sinistere doeleinden. Het zou zomaar kunnen dat in het tweede geval er een
nog veel massievere aanval gaat volgen.

>Dit systeem valt dus te saboteren, door de =
>domain name servers (en daar zijn er kennelijk maar een 13 van in de =
>wereld) te bestoken. Deze vertalen de namen van websites en =
>emailadressen in IP nummers en werden vanuit duizenden plaatsen tegelijk =
>bestookt met het verzoek om informatie.
>
Nope. Er zijn 13 'root' servers. Het DNS (Domain Name System) is
hierarchisch - als jij www.linux.com intikt, dan gaat het systeem van
rechts naar links zoeken (jouw computer sluist de vraag in zijn geheel
door naar je ISP, en daar draait een nameserver die dit werk doet). Eerst
moet hij weten waar hij '.com' kan vinden - deze vraag stelt hij aan
een van die 13 'root' servers, waarvan alle nameservers de adressen
kennen (die staan in hun configuratiefile). De root server geeft hierop een
lijst van nieuwe nameservers (toevallig ook weer 13 stuks) die alles over
'.com' weten. Naar een willekeurige hiervan wordt de vraag gestuurd over
'linux.com', en die geeft - in dit geval - twee nameservers terug. Naar eentje
daarvan gaat de vraag 'www.linux.com', en daar rolt dan eindelijk het antwoord
uit (64.28.67.72). Het antwoord wordt door je ISP naar je computer gestuurd,
en die neemt dan kontakt op met de server.

Er zijn dus vele honderdduizenden nameservers, en die zijn hierarchisch met
elkaar verbonden. Verder bewaart de server van je ISP antwoorden - als hij het
antwoord voor '.com' van de root nameservers krijgt, krijgt hij ook te horen
dat het antwoord 48 uur geldig is. Dus als iemand anders vlak daarna naar
'microsoft.com' op zoek is, hoeft de server van je ISP niet naar de root
servers, pas over 48 uur gaat-ie weer vragen (en ook de antwoorden voor
microsoft.com blijven een dagje bewaard, etcetera).

Oftewel: pas als 9 van de 13 rootservers ruim meer dan 24 uur onbereikbaar
zijn, dan ga je vertragingen opmerken (da's berekend). Een groot aantal
servers, zoals afgelopen week bleek, zijn tegen dit soort aanvallen niet
opgewassen (maar ik denk dat de beheerders op dit moment aan het werk
zijn om gaten te dichten), maar genoeg servers (die soms uit hele clusters
van machines bestaan) zijn tegen enorme belastingen bestand. Je moet dus
een gigantisch aantal PC's hacken om voldoende capaciteit te hebben,
en dan nog is het mogelijk dat er snel alternatieve rootservers in de
lucht gaan (die zijn ook al in voldoende mate voorhanden, ISP's hoeven
wat IP adressen in 1 bestand te veranderen om ze te gebruiken). Volgens
huidige inzichten is het daarom niet mogelijk om het DNS plat te krijgen.

>Nu wil het toeval, dat ik woensdagmiddag wat op het internet wilde =
>opzoeken, en dat toen mijn server, Planet, weg was gevallen, wat ik =
>eigenlijk nog nooit eerder heb meegemaakt. Bijna gelijktijdig hoorde ik =
>op het ANP het nieuws van deze aanval.=20
>
Zoals je zegt, toeval.

--
Cees de Groot               http://www.cdegroot.com     <cg at cdegroot.com>
GnuPG 1024D/E0989E8B 0016 F679 F38D 5946 4ECD  1986 F303 937F E098 9E8B
Cogito ergo evigilo

**********
Dit bericht is verzonden via de informele D66 discussielijst (D66 at nic.surfnet.nl).
Aanmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SUBSCRIBE D66
Afmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SIGNOFF D66
Het on-line archief is te vinden op: http://listserv.surfnet.nl/archives/d66.html
**********