Krebs na Bezpečnostní

V úterý večer, KrebsOnSecurity.com cílem byla extrémně velké a neobvyklé distributed denial-of-service (DDoS) útok, navržen tak, aby ukrást stránky v režimu offline. Útok neuspěl díky tvrdé práci inženýrů ve společnosti Akamai, která chrání můj web před takovými digitálními obléháními. Ale podle Akamai, to byl téměř dvojnásobek velikosti největšího útoku viděli dříve, a byla mezi největší útoky na Internetu se někdy svědkem.
iotstuf

útok začal kolem 20: 00 ET září. 20 a počáteční zprávy uvádějí přibližně 665 gigabitů provozu za sekundu. Další analýzy na útok provozu naznačuje, že útok byl blíže k 620 Gb ve velikosti, ale v každém případě je to o mnoho řádů větší provoz, než je obvykle zapotřebí, aby zaklepat většina stránek v režimu offline.

Martin McKeay, hlavní bezpečnostní obhájce společnosti Akamai, uvedl, že největší útok, který společnost zažila dříve, dosáhl na začátku tohoto roku rychlostí 363 Gbps. Ale on řekl, že tam byl hlavní rozdíl mezi včerejší DDoS a předchozí držitel rekordu: 363 Gpbs útoku je, že byly generovány botnet z napadených systémů pomocí dobře známých technik, které jim umožní “zesílit” relativně malý útok do mnohem větší.

naproti tomu se zdá, že obrovský útok Tento týden na mém webu byl spuštěn téměř výhradně velmi velkým botnetem napadených zařízení.

největší DDoS útoky na záznam bývají výsledkem osvědčené metody známé jako DNS reflection attack. Při takových útocích jsou pachatelé schopni využít nespravované servery DNS na webu k vytvoření obrovských dopravních záplav.

V ideálním případě servery DNS poskytují služby pouze strojům v důvěryhodné doméně. Útoky DNS reflection se však spoléhají na spotřebitelské a obchodní směrovače a další zařízení vybavená servery DNS, která jsou (mis)nakonfigurována tak, aby přijímala dotazy odkudkoli na webu. Útočníci mohou posílat falešné DNS dotazy na tyto tzv. “otevřené rekurzivní” DNS servery, kování žádost tak, že se zdá, že pocházejí z cílové sítě. Tímto způsobem, když servery DNS odpoví, odpoví na falešnou (cílovou) adresu.

padouši také mohou zesílit reflexní útok vytvořením dotazů DNS, takže odpovědi jsou mnohem větší než požadavky. Dělají to tím, že využívají rozšíření protokolu DNS, které umožňuje velké zprávy DNS. Útočník by například mohl sestavit požadavek DNS menší než 100 bajtů, což by vyvolalo odpověď, která je 60-70krát větší. Tento efekt “zesílení” je zvláště výrazný, pokud pachatelé dotazují desítky serverů DNS s těmito falešnými požadavky současně.

Ale podle Akamai, žádný útok metody používané v úterý v noci útok na KrebsOnSecurity spoléhal na zesílení nebo odraz. Spíše, mnoho odpadků Webové metody útoku, které vyžadují legitimní spojení mezi útočí na hostitelské a cílové, včetně SYN, GET a POST povodně.

to znamená, že s výjimkou jedné metody útoku: Předběžná analýza útoku provozu naznačuje, že možná největší kus útok přišel v podobě dopravní navržen tak, aby vypadat, jako by to bylo generic routing encapsulation (GRE) datové pakety, komunikační protokol použitý k navázat přímé, point-to-point spojení mezi uzly v síti. GRE umožňuje dvěma kolegům sdílet data, která by nemohli sdílet přes samotnou veřejnou síť.

“vidět tolik útoků přicházejících z GRE je opravdu neobvyklé,” řekl Akamai McKeay. “Začali jsme to vidět teprve nedávno, ale vidět to v tomto svazku je velmi nové.”Pokračovat ve čtení →

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.