Krebs a biztonságról

kedd este, KrebsOnSecurity.com egy rendkívül nagy és szokatlan distributed denial-of-service (DDoS) támadás célpontja volt, melynek célja, hogy offline állapotba hozza az oldalt. A támadás nem sikerült az Akamai mérnökeinek kemény munkájának köszönhetően, amely megvédi webhelyemet az ilyen digitális ostromoktól. De Akamai szerint ez majdnem kétszerese volt a legnagyobb támadásnak, amelyet korábban láttak, és az egyik legnagyobb támadás volt, amelyet az Internet valaha látott.
iotstuf

a támadás körül kezdődött 8 délután ET szeptember. 20, az első jelentések szerint másodpercenként körülbelül 665 gigabites forgalmat tett ki. A támadási forgalom további elemzése azt sugallja, hogy a támadás mérete közelebb volt a 620 Gbps-hez, de mindenesetre ez sok nagyságrenddel nagyobb forgalom, mint amire általában szükség van a legtöbb webhely offline kopogtatásához.

Martin McKeay, az Akamai vezető biztonsági ügyvédje elmondta, hogy a legnagyobb támadás, amelyet a vállalat korábban látott, az év elején 363 Gbps sebességgel történt. De azt mondta, hogy jelentős különbség van a tegnap esti DDoS és az előző rekordbirtokos között: úgy gondolják, hogy a 363 Gpbs támadást egy veszélyeztetett rendszerek botnete generálta, jól ismert technikák alkalmazásával, amelyek lehetővé teszik számukra, hogy egy viszonylag kis támadást sokkal nagyobbá “erősítsenek”.

ezzel szemben a hatalmas támadás ezen a héten az oldalamon úgy tűnik, hogy indult szinte kizárólag egy nagyon nagy botnet feltört eszközök.

a rekordon elkövetett legnagyobb DDoS támadások általában egy kipróbált módszer eredménye, amelyet DNS reflexiós támadásnak neveznek. Ilyen támadások esetén az elkövetők képesek kihasználni a nem felügyelt DNS-kiszolgálókat az interneten, hogy hatalmas forgalmi áradásokat hozzanak létre.

ideális esetben a DNS-kiszolgálók csak megbízható tartományon belüli gépeknek nyújtanak szolgáltatásokat. A DNS-reflexiós támadások azonban a fogyasztói és üzleti útválasztókra és más olyan DNS-kiszolgálókkal felszerelt eszközökre támaszkodnak, amelyek (mis)úgy vannak konfigurálva, hogy bárhonnan fogadjanak lekérdezéseket az Interneten. A támadók hamisított DNS-lekérdezéseket küldhetnek ezeknek az úgynevezett “nyitott rekurzív” DNS-kiszolgálóknak, hamisítva a kérést úgy, hogy úgy tűnik, hogy a cél hálózatából származik. Így, amikor a DNS-kiszolgálók válaszolnak, válaszolnak a hamisított (cél) címre.

a rossz fiúk is felerősíthetik a fényvisszaverő támadást a DNS-lekérdezések készítésével, hogy a válaszok sokkal nagyobbak legyenek, mint a kérések. Ezt úgy teszik, hogy kihasználják a DNS-protokoll kiterjesztését, amely lehetővé teszi a nagy DNS-üzeneteket. Például egy támadó 100 bájtnál kisebb DNS-kérést állíthat össze, 60-70-szer nagyobb választ kérve. Ez az” erősítés ” hatás különösen akkor hangsúlyos, ha az elkövetők több tucat DNS-kiszolgálót kérdeznek meg ezekkel a hamisított kérésekkel egyidejűleg.

de Akamai szerint a kedd esti KrebsOnSecurity elleni támadás során alkalmazott támadási módszerek egyike sem támaszkodott erősítésre vagy visszaverődésre. Inkább sok volt szemét Web támadás módszerek, amelyek megkövetelik a legitim kapcsolat a támadó gazda és a cél, beleértve SYN, GET és Post árvíz.

vagyis egy támadási módszer kivételével: A támadási forgalom előzetes elemzése azt sugallja, hogy a támadás talán legnagyobb darabja olyan forgalom formájában jött létre, amelyet úgy terveztek, hogy úgy nézzen ki, mint az Általános útválasztási kapszulázás (GRE) adatcsomagok, egy kommunikációs protokoll, amelyet közvetlen, pont-pont kapcsolat létrehozására használnak a hálózati csomópontok között. A GRE lehetővé teszi két társának, hogy megosszák azokat az adatokat, amelyeket nem tudnak megosztani a nyilvános hálózaton keresztül.

“látni, hogy sok támadás érkezik a GRE-től, nagyon szokatlan” – mondta Akamai McKeay. “Ezt csak nemrég kezdtük el látni, de ebben a kötetben látni nagyon új.”Continue reading

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.