Okay. Voordat we beginnen, wil ik eerst ff duidelijk maken:
ik heb hier niets mee te maken. Waarom mijn naam dan wel voorkomt in die informatie leg ik zo uit.
Eerst kijken we even naar het IP-adres waarmee je begon. Dit is 192.168.44.255. Dit is een adres uit de zogenaamde 'private zone': IP-adressen die gebruikt worden in je interne netwerk (LAN). Dit zie je ook staan op de
Wikipediapagina van het IP.
Wat je misschien hier opvalt, is de verwijzing naar RFC 1918. Deze komt immers ook in jouw gevonden informatie voor. RFC-documenten beschrijven regels en standaarden op het internet. Op de Nederlandse Wikipedia staat kort samengevat
wat RFC 1918 inhoud, je kunt ook
het complete document lezen, wat goed te begrijpen is.
Nu weten we wat voor een soort IP-adres 192.168.44.255 is. Laten we nu eens de link leggen met die 'blackhole-servers'.
Je ziet dat deze servers onderdeel zijn van IANA.org. Dit is de Internet Assigned Numbers Authority, de organisatie die op het internet de toewijzing van IP-adressen regelt. Dat verklaart het verband met de RFC 1918, maar nu is de vraag waarom het IP-adres hun 'blackhole-servers' gebruikt.
De reden daarvoor is te vinden in de betekenis van de naam 'blackhole'. Dit is een zwart gat, oftewel iets wat alles opzuigt.
In normale gevallen zullen privé IP-adressen nooit op het internet gebruikt worden: daar zijn ze immers nooit voor gemaakt, ze worden alleen op interne (LAN) netwerken gebruikt. Als door een fout het toch voorkomt dat dergelijke IP-adressen op het internet terecht komen, moeten ze ergens heen worden geleid. Dit is de taak van de blackhole-servers: het als het ware opzuigen en vernietigen van al deze 'fout' gebruikte IP-adressen. Dit is ook wat er gebeurt is toen jij een WHOIS deed op dit IP-adres: het adres kwam op internet, en de blackhole-servers zorgden ervoor dat dit goed afgehandeld werd.
Waarom lijkt het er dan op dat deze blackhole-servers jou aanvallen? Dat komt door het IP-adres: het IP-adres dat bij de aanval zat, was nooit bedoelt om het internet op te gaan. Op het internet worden dit IP-adres gekoppeld aan de blackhole-servers, terwijl deze op zich er niets mee te maken hebben.
Er zijn twee verklaringen waarom dat privé IP-adres bij de aanval zat:
1. De aanval kwam van jouw eigen, interne netwerk, en werd verzonden door een computer met dit IP-adres.
2. De aanval kwam van het internet, maar de aanvaller had het IP-adres vervalst.
In dit geval lijkt de tweede optie me de juiste.
Er is een zogenaamde smurf-attack gedaan. De naam komt van hoe de aanval werkt: de aanvaller stuurt een pakketje (de smurf) naar een server. Deze server stuurt deze weer door naar een andere server, deze stuurt hem ook weer door, enzovoort.
Terwijl de smurf de heuvel af rolt, grijpt hij steeds meer om zich heen, en wordt de denkbeeldige sneeuwbal van pakketjes steeds groter, doordat elke server een extra pakketje toevoegt. Onderaan de helling staat het slachtoffer, die dan wordt bedolven onder een enorme hoeveelheid pakketjes.
De reden waarom het IP-adres vervalst is is dan ook vrij eenvoudig te verklaren: de aanvaller wil niet dat je te weten kan komen wie hij is. Door het adres te vervalsen, leiden er geen sporen meer naar hem. De reden dat hij als vals-adres een privé IP-adres koos, is een technische reden: elke computer stuurt bij het ontvangen van een pakket een bevestiging terug naar de afzender. Op het moment dat de smurf-aanval aankomt bij jouw computer, begint deze overuren te draaien om bevestigingen voor elk pakketje te versturen. De hacker heeft als afzendadres een privé IP-adres gekozen, zodat alle bevestigingen naar jouw eigen netwerk worden gestuurd, waardoor het nog zwaarder belast wordt.
Ik hoop dat deze uitleg duidelijk was. Zijn er vragen, vraag ze gerust.
De IANA zelf heeft ook een heel duidelijke uitleg over dit alles, die zeker ook de moeite waard is om door te lezen. Ook utileg over de blackhole-servers komt hier in terug, en enkele redenen waarom je zou kunnen vermoeden dat er een aanval hier vandaan kwam.
http://www.iana.org/abuse/faq.html
