Início > internet > Twitter sofre um ataque

Twitter sofre um ataque

Depois de notar que meu TwitterMail estava me mandando mensagens em branco, o espaço aqui na lateral direita sem meus tweets e o Google Reader não estava aceitando alguns links de RSS do Twitter, imaginei que algo relativamente sério aconteceu a ele. Dei uma olhada no site downforeveryoneorjustme.com e ele acusou que o Twitter estava offline.  Esperando algumas notícias relacionadas ao ocorrido em sites como o da Folha, do Terra e muitos outros, links vão, links vem e acabei caindo nessa notícia. Nela diz os sites da Gawker.com saíram do ar as 10h20, no mesmo horário da queda do Twitter. Por associação comecei a procurar por termos como “twitter attack” e “twitter DDoS” e encontrei o link do Verbophobia explicando com informações sólidas que se tratava de um ataque, talvez não o mesmo ataque, mas o horário da queda deixa suspeitas de que seja.

Gentilmente solicitei ao dono do blog permissão para traduzir e publicar aqui, e fiz isso numa pressa absurda. O resultado vocês podem ler agora:

Em uma apresentação que Barrett Lyon deu em uma conferência sobre Inteligência e Terrorismo Internacional, ele discutiu como o Twitter é um alvo óbvio de DDoS – Distributed Denial of Service, quando uma quantidade enorme de computadores envia requisições forjadas para um outro computador, com o objetivo de dificultar a comunicação deste com os usuários. Quase 30 dias após, eles estão passando por isso.

Agora o Twitter está offline e sua rede tem sinais claros de uma falha geral. Nas centenas de casos de DDoS em que Barrett analisou, este é um caso bastante claro de um ataque.

Congestionamento de tráfego é um sinal muito claro de um ataque DDoS. Você verá um traceroute limpo até o ponto final, em que a rede dos servidores do Twitter começa a ficar congestionada. Basicamente, isso significa que cada nó da rede está limpo até as coisas se concentrarem no final.

Supõe-se que esse congestionamento é causado por um DDoS e não por culpa de um administrador que criou um roteamento em loop ou algo estranho como isso.

Também parece que o Twitter tem somente um link de dados, da NTT, o que é um tanto insano hoje em dia. Isso também faz com que o Twitter seja um alvo fácil, já que não há redundância de conexões de rede.

Usando ferramentas básicas de rede é possível  ver que o congestionamento na rede é um pouco extremo. É possível deduzir que esse congestionamento é provavelmente causado por um ataque DDoS.

Pista de um DDoS 1: UDP bloqueado

6 mg-1.c00.mlpsca01.us.da.verio.net (129.250.24.202) 21.497 ms 18.386 ms 19.277 ms
7 128.121.150.245 (128.121.150.245) 19.289 ms 20.950 ms 17.331 ms
8 * * *
9 128.121.150.245 (128.121.150.245) 20.178 ms !X * *
10 128.121.150.245 (128.121.150.245) 20.731 ms !X * *
11 128.121.150.245 (128.121.150.245) 19.777 ms !X * *
12 128.121.150.245 (128.121.150.245) 27.217 ms !X * *
13 * 128.121.150.245 (128.121.150.245) 24.115 ms !X *
14 * * *

O !X no traceroute diz que alguém implantou um filtro para bloquear certos tipos de tráfego. Neste caso, eles querem bloquear o UDP, que é o que o traceroute usa para testar cada salto na rede.

Pista de um DDoS 2: Latências (tempos de resposta) com números absurdos

Quando você olha para um fluxo de dados TCP, com uma ferramenta como o tcptracerout, é possível analisar mais a fundo a rede do Twitter. Você pode ver facilmente que há algo de errado no salto 6, quando a latência passa de 10 milissegundos para mais de 700 millissegundos.

Ela é uma forte evidencia que alguém está atacando o Twitter.

4 mg-1.c00.mlpsca01.us.da.verio.net (129.250.24.202) 5.471 ms 10.941 ms 10.987 ms
5 128.121.150.133 (128.121.150.133) 10.988 ms 10.050 ms 10.988 ms
6 128.121.146.165 (128.121.146.165) 713.595 ms 1927.409 ms 1954.990 ms

Indo mais fundo, você verá que os dados do ICMP estão conflitando com a rede de upstream.

— twitter.com ping statistics —
248 packets transmitted, 68 packets received, 72.6% packet loss
round-trip min/avg/max/stddev = 1.080/424.280/2216.415/625.497 ms

Isto mostra que o tempo máximo de resposta foi de 2.2 segundos – quando deveria ser menos da metade de 1 segundo, em média. Evidência bastante clara de um DDoS.

UPDATE 1: A página de status do Twitter admite um DDoS

Aparentemente eles operam em redes divididas, visto que os servidores e balanceadores de carga do www.twitter.com são diferentes dos que o search.twitter.com e o status.twitter.com usam. Os hosts status.twitter.com e search.twitter.com estão online. Barrett diz que os serviços de API podem estar funcionando. A página do status.twitter.com diz:

“Ongoing denial-of-service attack 4 minutes ago
We are defending against a denial-of-service attack, and will update status again shortly.

Site is down 1 hour ago
We are determining the cause and will provide an update shortly.

Update: we are defending against a denial-of-service attack.”

UPDATE 2: Twitter está lutando!

O site continua instável, deixando claro que eles estão tentando usar técnicas para atenuar os efeitos do ataque. A técnica notada por Barrett é um http Redirect com a hipótese de que bots – os programas usados no ataque – não seguem os redirects.

GET /
HTTP/1.1 302 Moved Temporarily
Content-Length: 0
Location: /?c3abf020

A hipótese é de que um navegador real vai seguir o cookie da nova localização (”?c3abf020″ nesse caso, visto que é um código aleatório). Se o software que você usa não seguir o cookie, então você será visto como um bot.

É uma boa idéia, entretanto, existem milhares de scripts e ferramentas escritas com base na API do Twitter que podem não entender como seguir um HTTP 302 redirect. Logo, eles estão para deixar muitos clientes de Twitter não baseados em um navegador praticamente inutilizados. Isso inclui um script que Barrett utiliza para atualizar a página inicial de seu blog com seus statuses. Ele modificará sua criação, mas parece que há uma falta de preparo para estes ataques e podem haver vários destes sendo preparados, tentando várias técnicas ao mesmo tempo e fazendo bagunça.


Versão original em Verbophobia:Twitter down due to DDoS por Barrett Lyon. Thanks for the very interesting explanation, Barrett!

14:50 e vejo o Twitter no ar. Viva!

Anúncios
Categorias:internet Tags:, ,
  1. 12/08/2009 às 15:37

    Não reparei isso no Twitter, deve ser pq eu não twito todos sos dias neh :s
    uhchudssuhduhduhs mais infim seu post ficou difícil aí eu parei dler na metade , pelo mnos eu sou sincera neh!!! ashuhuyashusahsa
    AMO VC ^^
    Bei-jos
    😉

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: