Cyber attack besar-besaran beberapa hari yang lalu terjadi kepada SpamHaus. Spamhaus adalah sebuah organisasi nirlaba internasional yang sangat mengganggu kegiatan para spammers. Spamhaus memiliki data sebagaimana halnya Nawala di Indonesia tentang IP ataupun alamat hosting spammers. Hal ini menjadikannya memiliki banyak musuh yang secara bersamaan pada minggu kemarin mengirimkan paket data seperti yang dilakukan polisi pada pengunjuk rasa dengan water cannon yang menjadikannya sebagai peristiwa DDoS terbesar dalam sejarah, untuk meruntuhkan Spamhaus.
Hari Selasa 2 minggu yang lalu, Spamhaus menerima paket data sebesar 75 gigabit per detik, menjadikan situs ini sangat susah diakses dan tentunya sempoyongan. Sehingga database yang tersedia untuk filtering dan memblacklist situs spam yang digunakan banyak ISP sulit dijangkau, dengan begitu lonjakan spam tanpa filter ISP akan mudah masuk. Pada fase ini Spamhaus mengambil keputusan untuk menggunakan jasa CloudFlare, sebuah perusahaan yang membantu mengamankan website dan membantu mitigasi pengaruh dari seragan DDoS, denial-of-service yang dilancarkan.
Maka terjadilah sebuah kisah bagaimana para penyerang dapat mengirim satu situs internet dengan trafik yang sangat tinggi dan bagaimana CloudFlare dapat mengatasi, memblokirnya dengan menggunakan metode routing yang dikenal dengan nama Anycast.
Para penyerang Spamhaus menggunakan botnet untuk menjadikan serangannya menjadi masif. Mereka menggunakan teknik amplifikasi DNS (Domain Name System, sebuah cara yang menjadikan para penyerang dalam keterbatasan bandwidth-nya, menjadi sebuah serangan trafik ratusan kali lipat. Arstechnica pernah menuliskan bahwa amplifikasi serangan DNS dapat dilakukan karena perusahaan seperti AT&T, GoDaddy, SoftLayer dan Pakistan Telecom mengijinkan server open DNS untuk berjalan di jaringannya meskipun hanya untuk para pelanggan berbayarnya. Para penyuka serangan dengan DDoS telah menyalahgunakan fasilitas DNS resolver ini selama bertahun-tahun.
Sebagaimana anda ketahui dan pahami bahwa server DNS adalah sebuah direktori di internet yang menterjemahkan nama domain seperti suryaden.com menjadi angka alamat IP (Internet Protocol) 78.46.173.26. Namun juga DNS Server dapat digunakan untuk membuat satu alamat IP seolah-olah menjadi peminta trafik.
Matthew Prince, CEO CloudFlare mengatakan di tulisan blog, bahwa setiap permintaan DNS yang dikirimkan oleh penyerang Spamhaus sepertinya hanya sepanjang 36 byte, sementara setiap respon sebesar 3,000 byte. Dengan melakukan spoofing request tersebut, maka seolah-olah mereka berasal dari Spamhaus, hal ini dapat digunakan sebagai senjata untuk memperbesar jumlah serangan, namun hal ini tidak menjamin bisa diproses menjadi trafik yang legitimate.
Strategi yang digunakan oleh CloudFlare agar Spamhaus online kembali adalah dengan Anycast, sebuah teknik routing yang mendistribusikan alamat IP yang sama dalam 23 datacenter di seluruh dunia. Biasanya trafik internet selalu memilih jalur yang terdekat. Dengan Anycast ini memungkinkan secara geografis semua trafik paket data diserap dalam puluhan datacenter sendiri-sendiri, dimana kemudian paket data tersebut diperiksa. Penanda paket trafik di periksa, apabila ada respon 3,000 byte dari open DNS resolver, maka kemudian paket tersebut dianggap tidak sah, dan akan ditolak oleh data center CloudFlare. Jadi hanya permintaan yang sah, atau legitimate yang akan diteruskan oleh CloudFlare ke Spamhaus.
Tehnik CloudFlare dengan Anycast Server terbukti ampuh dalam hal ini. Seperti diketahui bahwa dengan mendaftar ke CloudFlare kita mendapatkan Alamat IP sebagai DNS-nya, demikian juga kustomer CloudFlare lainnya. Dengan hal tersebut, trafik request akan diperiksa dan trafik tidak akan terkonsentrasi di satu lokasi saja. DDoS terjadi dengan serangan bertubi-tubi ke satu IP, maka dengan Anycast hal ini tak akan berefek buruk karena CloudFlare akan mengidentifikasi request tersebut dan dikabarkan ke seluruh datacenter Anycast, menolak permintaan yang berpenanda sama dan teridentifikasi sebagai serangan, untuk menerima permintaan yang diidentifikasi berpenanda sah, demikian pula yang sudah ditandai dengan ACK flag. Meskipun hal ini masih menjadi diskusi yang panjang, karena ironisnya saat CloudFlare membloking semacam serangan seperti ini, sistem di CLoudFlare dilaporkan oleh operator jaringan bahwa CloudFlare menyerang sistemnya dengan abusive query DNS atau SYN floods. Jadi masih banyak problem dalam persoalan masalah DoS.
Diketahui juga ada permusuhan antara Spamhaus dengan A2b-internet, dalam postingannya Disclosure on the Spamhaus communication, hal ini disebabkan sebagaimana UU ITE di Indonesia yang memerintahkan mencekal IP atau website yang menjadi klien ISP oleh ISP-nya sendiri. Dalam hal ini CyberBunker dianggap sebagai sebuah perusahaan klien A2b-internet di Belanda yang menerima hosting situs secara bebas, dan hanya tidak membolehkan pornografi anak dan terorisme.
Kisah DDoS sebesar 300 gigabit per detik ke Spamhaus pada awalnya dianggap dilakukan oleh perusahaan CyberBunker, sebuah data center yang dilindungi bunker anti nuklir dan kustomernya dijamin dapat online terus meskipun bermasalah dengan pemerintah dimanapun, sepanjang dia membayar. Kisah CyberBunker sendiri adalah kisah yang sangat menarik sekali.
Belakangan diketahui bahwa memang ada operasi Stophaus, dalam tulisan Operation Stophaus, seperti ini:
OPERATION STOPHAUS:
We demand that The Spamhaus Project, an offshore criminal network of tax circumventing self declared internet terrorists pretending to be 'spam' fighters, seizes the following activities:
- Listing personal information, photos, etc, without a permit of applicable authorities, such as the information commissioners office (UK), often combined with slander, at the ROKSO part of their website.
- Listing any and all IP space that is not a source of spam, triggering a honeypot, on a per-ip basis, for a defined time, with autoremoval after this period of time.
- Listing non-related, non SPAM originating IP space, both of ISPs, their carriers and peers, in an effort to blackmail/extort those ISPs, Carriers and Peers to discontinue service to certain clients Spamhaus doesn't like for whatever 'reason'.
- Stop using slanderous terms, such as 'criminal' or 'illegal' or 'fraud' in cases where under applicable (residence of the end-user) law, this is not the case at all. In case Spamhaus thinks something criminal is going on, they have the legal obligation to hand it over to law enforcement, not blackmail people into getting it disconnected without legal process.
- Compensate each and everyone ever listed, for damages, regarding the manhours and financial resources spent, to repair the damage done by listing non SPAM related IPs. (most of the listings on spamhaus serve no technical purpose whatsoever, and are only there to blackmail people).
Spamhaus has recently blackmailed several multinational carriers into disconnecting clients, breaching their own contracts, without any legal procedure whatsoever, and pretty much everyone on the internet so-far has feared spamhaus too much to report them to the authorities, wether they have a legal department to do so or not. reporting spamhaus to the authorities has shown to result in more listings, such as on their DROP list, which breaks access to significant parts of the internet completely. Spamhaus advertising its use as such, constitutes to breach of the UK Computer Sabotage Act. they know that by listing anything on DROP, they're breaking internet access (at least partially), and use it as a means to terrorize people into giving them their way.
for more information about the Spamhaus project, and their network of offshore limiteds they use to circumvent taxation (claiming to be a non-profit in the UK, meanwhile selling illegally harvested and processed datafeeds and whitelistings through companies registered on the bahamas and cyprus), we refer to our forum at http://www.stophaus.com/
WE ARE LEGION
WE NEVER FORGET
SPAMHAUS SHOULD HAVE EXPECTED US.
Jadi peperangan antar cyber ini akan lama selesainya, dan kita hanya akan menikmati internet yang semakin sangat super lelet.
