Einführung
Am 29. August ging ein Hurrikan der Kategorie 4 namens Ida in Louisiana an Land, wo mehrere Nachrichtenorganisationen Windgeschwindigkeiten von mehr als 150 Meilen pro Stunde (241 km/h) meldeten. Hurrikane können enorme Schäden an Versorgungsinfrastrukturen wie Strom, Kabel, DSL/Telefonie und Glasfasernetzen anrichten und katastrophale Ausfälle verursachen, deren Behebung viel Zeit und Geld kosten kann. Einige Nachrichtenagenturen berichten, dass allein die Behebung der Schäden an der Strominfrastruktur einige Tage bis Wochen in Anspruch nehmen kann. Aufgrund dieser physischen Schäden können wir die Auswirkungen von Ida auf die Verfügbarkeit von Hosts im Internet-IP-Raum von Louisiana verfolgen, um die Probleme der Einwohner besser zu verstehen.
Kurz gesagt, konnten wir durch die Analyse des IP-Raums von Louisiana Folgendes feststellen:
- Mehrere Internetanbieter hatten zwei Tage lang erhebliche Ausfälle, darunter AT&T, Cox, Comcast und Suddenlink. Diese Ausfälle stehen wahrscheinlich im Zusammenhang mit Nachrichtenberichten über Schäden an Stromleitungen und Strommasten im gesamten Bundesstaat.
- AS397793, auf der die Website des Sewerage and Water Board of New Orleans (swbno.org) gehostet wird, war mehr als 48 Stunden lang komplett offline.
- AS16913, auf dem die Loyola University Louisiana (loyno.edu) und andere Netzwerkinfrastrukturen gehostet werden, wurde offline geschaltet, konnte aber in den folgenden Tagen teilweise wiederhergestellt werden.
- Bei einem regionalen Krankenhaus verschwand die Internetanbindung, obwohl die Website dank Cloud-Diensten weiterhin online war.
- Mehrere autonome Systeme (AS) meldeten keine Hosts im IP-Adressraum von Louisiana.
Wir werden diese wichtigen Erkenntnisse mithilfe von BigQuery-SQL-Abfragen zu unserem Enterprise Universal Internet Dataset etwas genauer analysieren.
Eine Perspektive für globale Aktivitäten
Zur Auffrischung - oder für diejenigen, die mit Censys nicht vertraut sind- scannen wir den gesamten IPv4-Adressraum des Internets, abzüglich einiger reservierter und blockierter Bereiche. Das heißt, wir verfolgen über 200 Millionen Hosts (die mit einem offenen Port antworten) auf der ganzen Welt, sogar an sehr abgelegenen Orten.
Für jeden Host, den wir entdecken, verfolgen wir alle offenen Ports (wir scannen mehr als 3.500, und diese Zahl steigt mit jeder neuen Funktion) und führen die Historie dieser Hosts über die Zeit. Stellen Sie sich vor, wir wären die Wayback Machine, nur für Geräte mit Internetanschluss. Diese Aktivität ist sowohl für Einzelpersonen als auch für Organisationen nützlich, um bösartige Infrastrukturen zu identifizieren und Cybersecurity-Kriminalität durch bösartige Akteure, kriminelle Ringe und staatlich organisierte Akteure zu bekämpfen, um nur einige zu nennen. Sie ist auch für Unternehmen hilfreich, um ihre Vermögenswerte besser zu verstehen, da die explosionsartige Verbreitung von IT in den letzten zwei Jahrzehnten zu einem massiven Inventarisierungsproblem für Sicherheitsteams weltweit geführt hat.
Wie sich jedoch herausstellte, kann uns das Internet-Scanning auch dabei helfen, die Auswirkungen von Naturkatastrophen wie dem Hurrikan Ida besser zu quantifizieren, indem wir die Veränderungen in der Host-Verfügbarkeit durch unsere Internet-Scans beobachten.
Die nominelle Form des IP-Raums in Louisiana
Im Durchschnitt werden täglich 236.000 Hosts für IP-Adressen gezählt, die im Staat Louisiana identifiziert werden. Am 28. August 2021, dem Tag vor dem Eintreffen von Ida, meldeten 192 bekannte ASes aktive Hosts in Louisiana. Die unten aufgeführten 10 wichtigsten AS machen einen Großteil der Hosts im Bundesstaat aus:
| AS-Nummer (ASN) |
AS Beschreibung |
# Hosts/IPs |
| 20115 |
CHARTER-20115 |
51155 |
| 22773 |
ASN-CXA-ALL-CCI-22773-RDC |
43929 |
| 7018 |
ATT-INTERNET4 |
32000 |
| 5009 |
EATEL |
21437 |
| 209 |
CENTURYLINK-US-LEGACY-QWEST |
14590 |
| 6389 |
BELLSOUTH-NET-BLK |
10654 |
| 19108 |
SUDDENLINK-KOMMUNIKATIONEN |
6455 |
| 7922 |
COMCAST-7922 |
5814 |
| 13760 |
UNITI-FIBER |
3935 |
| 25921 |
LUS-FIBER-LCG |
3885 |
Die 10 wichtigsten autonomen Systeme (AS) am 28. August 2021 - vor dem Landfall
Der IP-Adressraum in Louisiana setzt sich hauptsächlich aus privaten und kommerziellen Breitband-Diensteanbietern zusammen, darunter:
- Charta
- Cox (ASN-CXA-ALL-CCI-22773-RDC)
- AT&T (einschließlich Bellsouth)
- EATEL
- Centurylink
- Suddenlink
- Comcast
- Uniti-Faser
- LUS-Faser
Uniti Fiber hebt sich noch ein wenig weiter ab. Laut ihrer Wikipedia-Seite sind sie der "führende Anbieter von Infrastrukturlösungen, einschließlich Zellstandort-Backhaul und Small Cell für Mobilfunkbetreiber sowie Ethernet, Wellenlängen und Dark Fiber für Telekommunikationsanbieter und Unternehmen". In Anbetracht der Rolle von Uniti Fiber bei der Mobilfunkkonnektivität und der Notfallhilfe ist es wichtig, Ausfälle in ihrem Netzwerk genau zu beobachten.
Messung der Auswirkungen von Ida auf internetfähige Hosts
Im IP-Adressraum von Louisiana sind an einem beliebigen Tag etwa 237.000 Hosts über das öffentliche Internet verfügbar. Diese Hosts stammen aus verschiedenen Netzen innerhalb dieses IP-Raums, aber die überwältigende Mehrheit von ihnen stammt von privaten/kommerziellen ISPs wie Comcast, Cox, AT&T und Suddenlink. Insgesamt beobachtete Censys für ganz Louisiana zwischen dem 29. August und dem 1. September einen Rückgang der Internet-Hosts um über 50 %:
Internet-Hosts für Louisiana, 2021-08-15 bis 2021-09-09
Da ein Großteil des IP-Raums in Louisiana aus Internetdienstanbietern (ISPs) besteht, können wir diese Daten weiter vertiefen, um die Auswirkungen pro ISP besser zu verstehen. Die folgenden Abschnitte enthalten Diagramme, die die Anzahl der aktiven Hosts im Laufe der Zeit anzeigen.
AS22773 - Cox Communications
Innerhalb von fünf Tagen sank AS22773 (ASN-CXA-ALL-CCI) von mehr als 43.000 IPv4-Hosts auf nur noch 16.670 am 1. September. Der stärkste Rückgang wurde am 30. August verzeichnet, mit einem Delta von mehr als 9.432 weniger Hosts als am Vortag. Bis zum 7. September stieg diese Zahl langsam wieder auf etwa die Hälfte des Stands vor Beginn des Sturms an.
AS20115 - Charter Communications
AS20115 (CHARTER COMMUNICATIONS) verzeichnete am 1. September eine massive Verschiebung von 51.150 aktiven IPv4-Adressen auf nur noch 8.185 Hosts. Im Laufe der Zeit tauchten Tausende von Hosts in unseren Scans wieder auf, und am 7. September waren nur noch 19.947 Hosts online, verglichen mit der ursprünglich gemeldeten Zahl vor dem Sturm.
AS7018 - AT&T Internet
ATT-INTERNET - ein beliebter Privatkunden-ISP in Louisiana - verzeichnete einen massiven Rückgang von 31.984 Hosts am 28. August auf nur noch 11.526 am 1. September. Dieser Rückgang der Zahl der aktiven Hosts gibt uns Aufschluss über die Zahl der Haushalte, die in dieser Zeit ohne Strom sind.
AS5009 - EATEL
Eatel ist ein weiterer Internetanbieter für Privatkunden, bei dem die Zahl der aktiven Hosts von 21.451 am 28. August auf 10.994 am 1. September zurückging. Die deutlichste Veränderung gab es am 30. August mit einem Rückgang von 4.464 Hosts.
Ermittlung ganzer Netzausfälle
Da die Plattform Censys identifizierte IP-Adressen mit Geolokalisierungs- und autonomen Systeminformationen kennzeichnet, können wir diese Kennzeichnungen verwenden, um den IP-Adressraum in Louisiana zu filtern und festzustellen, welche Netzwerke in unserem letzten Scan-Snapshot im Vergleich zum Tag des Sturms nicht auftauchten. Censys speichert unsere Daten so, dass sie von BigQuery abgefragt werden können, das für alle Unternehmens- und Regierungskunden zur Verfügung steht. Wir können diese Liste mit einer SQL-Abfrage abrufen:
SELECT A.asn, A.description
FROM (
SELECT DISTINCT autonomous_system.asn, autonomous_system.description
FROM `censys-io.universal_internet_dataset.universal_internet_dataset`
WHERE DATE(snapshot_date) = "2021-08-27"
AND location.province = "Louisiana"
) A
FULL OUTER JOIN (
SELECT DISTINCT autonomous_system.asn, autonomous_system.description
FROM `censys-io.universal_internet_dataset.universal_internet_dataset`
WHERE DATE(snapshot_date) = "2021-08-31"
AND location.province = "Louisiana"
) B
ON (A.asn = B.asn)
WHERE B.asn is null
Diese Abfrage liefert die folgenden Ergebnisse, die angeben, welche Netze nicht mehr verfügbar sind:
| AS-Nummer (ASN) |
AS Beschreibung |
Analyse |
| 16913 |
LOYNO-EDU |
www.loyno.edu, das vollständig offline war und nun wiederhergestellt ist, sowie die zugehörige IT-Infrastruktur. |
| 40877 |
XULA |
Unbekannt; in diesem AS wurde nur ein einziger Host mit SNMP in Louisiana beobachtet. |
| 35869 |
PETERAMAYER |
peteramayer.com, eine Werbeagentur |
| 54311 |
DCC-615-DELGADO-COMMUNITY-COLLEGE |
Bei dcc.edu, einem Community College in Louisiana, war der Netzbetrieb für eine der bisher längsten Zeitspannen beeinträchtigt. |
| 55028 |
KIEWIT- |
|
| 1648 |
JEFFERSON-PARISH-SCHOOL-BOARD |
jpschools.org, die mit einem Banner auf ihrer Homepage darauf hinweisen, dass sie bis auf weiteres geschlossen sind. Wir können sehen, dass ihr Netzwerk für eine ganze Weile offline war. |
| 397793 |
ASN-SWBNO-01 |
swbno.org, die Abwasser- und Wasserbehörde von New Orleans, deren Netzpräsenz eine Zeit lang vollständig aus dem Internet verschwunden war |
| 22218 |
ITC-GLOBAL |
|
Die oben genannten autonomen Systeme (AS) sind nicht mehr über Censys scans verfügbar.
In der folgenden Visualisierung kann der Leser leicht erkennen, wann und wo es zu Ausfällen kam. Auf der vertikalen Achse befinden sich die Daten vom 27. August 2021 bis zum 6. September 2021, und die horizontale Achse zeigt die Anzahl der IPv4-Adressen für jeden ASN. Die dunkelblauen Spalten sind die IP-Zahlen, während die cyanfarbenen Spalten das Delta zwischen den einzelnen Zeilen darstellen.
Um die obige Visualisierung der Ausfälle in Louisiana zu erstellen, haben wir eine Abfrage erstellt, die jede eindeutige IPv4-Adresse im Bundesstaat Louisiana zwischen einem Bereich von zwei Daten zählt, gruppiert nach der ASN und dem letzten Scandatum, zusammen mit dem Delta jeder Zeile.
WITH
as_active_ips AS (
SELECT
DATE(snapshot_date) AS day,
autonomous_system.asn,
autonomous_system.name,
APPROX_COUNT_DISTINCT(host_identifier.ipv4) AS ipcount
FROM
censys-io.universal_internet_dataset.universal_internet_dataset
WHERE
location.province = "Louisiana"
AND location.country_code = "US"
AND DATE(snapshot_date) BETWEEN '2021-08-27'
AND '2021-09-07'
GROUP BY
day,
autonomous_system.asn,
autonomous_system.name
ORDER BY
day,
autonomous_system.asn,
autonomous_system.name )
SELECT
day,
asn,
name,
ipcount,
ipcount - LAG(ipcount) OVER (PARTITION BY asn ORDER BY day ASC) AS delta
FROM
as_active_ips
GROUP BY
day,
asn,
name,
ipcount
ORDER BY
asn,
name,
day
Mithilfe eines einfachen SNMP-Sweeps stellte Censys fest, dass von 1.797 Geräten mit öffentlich zugänglichen SNMP-System-OIDs nur 58 Geräte eine Betriebszeit von weniger als 15 Tagen aufwiesen. Cox Communications wies mit 26 Hosts, die eine niedrige Betriebszeit zwischen 5 und 8 Tagen meldeten, die höchste Anzahl von Hosts auf, gefolgt von acht Hosts von AT&T, die eine Betriebszeit von 6 bis 7 Tagen meldeten. Diese Daten geben Aufschluss darüber, ob ein Rechenzentrum vollständig offline ist oder nur die Verbindung verloren hat.
Wie geht es jetzt weiter?
Die Zerstörungen durch den Hurrikan Ida haben die Infrastruktur in Louisiana stark und erheblich beeinträchtigt. So sehr, dass ein großer Teil der Netzwerkinfrastruktur, die noch vor wenigen Wochen verfügbar war, sich immer noch erholt. Bei den meisten dieser inaktiven Hosts handelt es sich um Nutzer, die noch immer ohne Strom sind, während andere Hosts in einem Rechenzentrum mit Generator von Netzwerkausfällen betroffen waren.
Organisationen in Gebieten mit häufigeren oder wahrscheinlichen Auswirkungen von Unwettern auf den Betrieb sollten Notfallpläne in Betracht ziehen, die auch Standorte außerhalb des betroffenen Gebiets umfassen. Für einige Organisationen, wie Krankenhäuser oder Schulen, ist dies jedoch nicht immer eine praktikable Option. Die Redundanz mehrerer Anbieter für die Internetverbindung und die Stromversorgung kann für diese Organisationen von entscheidender Bedeutung sein, aber sie ist immer noch keine Garantie für die Betriebszeit bei einem kritischen Ereignis. Für unternehmenskritische Systeme, die nur Daten verarbeiten, kann die Verwendung eines herkunftsbasierten CDN sowohl für die Zuverlässigkeit als auch für die Leistung von Vorteil sein.
Schließlich zeigt ein interessantes Ergebnis dieser Untersuchung, wie sehr Infrastruktur und Katastrophenereignisse miteinander verknüpft sind. Die Cybersicherheitslandschaft ist auf mehreren Ebenen eng mit der nationalen Sicherheitslandschaft verbunden. Der Informationsaustausch zwischen der Cybersicherheitsgemeinschaft und den Notfallbehörden kann auch außerhalb von Cybersicherheitsvorfällen nützlich sein.
Über Censys
Weitere Informationen darüber, wie Censys Daten verwendet werden, um Branchen über kritische Risiken und Schwachstellen zu informieren, finden Sie in unserem Blog. Wenn Sie eine Demo unserer Attack Surface Management-Plattform oder andere Fragen haben, kontaktieren Sie uns!
