Krebs on Security

tiistai-iltana, KrebsOnSecurity.com oli kohde erittäin suuri ja epätavallinen distributed denial-of-service (DDoS) hyökkäys tarkoituksena kaataa sivuston offline. Hyökkäys ei onnistunut Akamain insinöörien kovan työn ansiosta, yritys, joka suojaa sivustoani tällaisilta digitaalisilta piirityksiltä. Mutta Akamain mukaan se oli lähes kaksi kertaa suurempi kuin suurin hyökkäys, jonka he olivat nähneet aiemmin, ja se oli yksi suurimmista hyökkäyksistä, joita Internet on koskaan nähnyt.
iotstuf

hyökkäys alkoi noin kello 20 ET Syyskuuta. 20, ja alustavien raporttien mukaan se oli noin 665 gigabittiä liikennettä sekunnissa. Lisäanalyysi hyökkäysliikenteestä viittaa siihen, että hyökkäys oli kooltaan lähempänä 620 Gbps: ää, mutta joka tapauksessa tämä on monta kertaluokkaa enemmän liikennettä kuin yleensä tarvitaan kaatamaan useimmat sivustot offline-tilassa.

Martin McKeay, Akamain vanhempi turvallisuusasiamies, sanoi, että suurin hyökkäys, jonka yhtiö oli nähnyt aiemmin tänä vuonna, oli 363 Gbps. Mutta hän sanoi, että oli suuri ero viime yön DDoS ja edellisen ennätyksen haltija: 363 gpbs hyökkäys uskotaan syntyneen bottiverkko vaarantuneiden järjestelmien käyttäen tunnettuja tekniikoita, joiden avulla he voivat “vahvistaa”suhteellisen pieni hyökkäys paljon suurempi.

sen sijaan tämän viikon valtava hyökkäys sivustollani näyttää käynnistyneen lähes yksinomaan erittäin suuren hakkeroitujen laitteiden bottiverkon avulla.

suurimmat DDoS-hyökkäykset ovat yleensä tulosta hyväksi havaitusta menetelmästä, joka tunnetaan DNS-heijastushyökkäyksenä. Tällaisissa hyökkäyksissä tekijät pystyvät hyödyntämään hallitsemattomia DNS-palvelimia verkossa, jolloin syntyy valtavia liikennetulvia.

ihannetapauksessa DNS-palvelimet tarjoavat palveluja vain luotettuun toimialueeseen kuuluville koneille. Mutta DNS heijastus hyökkäykset luottaa kuluttajien ja yritysten reitittimet ja muut laitteet varustettu DNS-palvelimet, jotka ovat (mis)määritetty hyväksymään kyselyt mistä tahansa Webissä. Hyökkääjät voivat lähettää väärennettyjä DNS-kyselyjä näille niin sanotuille” avoimille rekursiivisille ” DNS-palvelimille takomalla pyynnön niin, että se näyttää tulevan kohteen verkosta. Näin, kun DNS-palvelimet vastaavat, ne vastaavat väärennetty (kohde) osoite.

pahikset voivat myös vahvistaa heijastavaa hyökkäystä askartelemalla DNS-kyselyjä niin, että vastaukset ovat paljon pyyntöjä suurempia. He tekevät tämän hyödyntämällä laajennus DNS-protokollaa, joka mahdollistaa suuret DNS viestit. Hyökkääjä voisi esimerkiksi muodostaa alle 100 tavun DNS-pyynnön, jolloin vastaus olisi 60-70 kertaa suurempi. Tämä “amplification” vaikutus on erityisen voimakas, jos tekijät tiedustelevat kymmeniä DNS-palvelimia näillä väärennetyillä pyynnöillä samanaikaisesti.

mutta Akamain mukaan mikään tiistai-illan hyökkäyksessä Krebsonsecuritylle käytetyistä hyökkäysmenetelmistä ei nojannut vahvistamiseen tai heijastamiseen. Sen sijaan monet olivat roskaverkkohyökkäysmenetelmiä, jotka vaativat oikeutettua yhteyttä hyökkäävän isännän ja kohteen välillä, mukaan lukien SYN, GET ja POST tulvat.

eli yhtä hyökkäysmenetelmää lukuun ottamatta: Alustavan analyysin hyökkäys liikenteen viittaa siihen, että ehkä suurin osa hyökkäys tuli muodossa liikenteen suunniteltu näyttämään se oli generic routing encapsulation (GRE) datapaketit, viestintäprotokolla käytetään luomaan suora, point-to-point yhteys verkon solmut. GRE antaa kahden vertaisen jakaa tietoja, joita he eivät voisi jakaa itse julkisessa verkossa.

“sen näkeminen, että grestä tulee noin paljon hyökkäyksiä, on todella epätavallista”, Akamain McKeay sanoi. “Olemme alkaneet nähdä sen vasta äskettäin, mutta sen näkeminen tällä volyymilla on hyvin uutta.”Jatka lukemista →

Vastaa

Sähköpostiosoitettasi ei julkaista.