Krebs sulla sicurezza

martedì sera, KrebsOnSecurity.com era il bersaglio di un estremamente grande e insolito distributed denial-of-service (DDoS) attacco progettato per battere il sito offline. L’attacco non è riuscito grazie al duro lavoro degli ingegneri di Akamai, la società che protegge il mio sito da tali assedi digitali. Ma secondo Akamai, era quasi il doppio del più grande attacco che avevano visto in precedenza, ed è stato tra i più grandi assalti che Internet abbia mai visto.
iotstuf

L’attacco è iniziato intorno alle 8 p.m. ET di settembre. 20, e rapporti iniziali metterlo a circa 665 Gigabit di traffico al secondo. Ulteriori analisi sul traffico di attacco suggerisce l’assalto era più vicino a 620 Gbps in termini di dimensioni, ma in ogni caso questo è molti ordini di grandezza più traffico di quanto è tipicamente necessario per battere la maggior parte dei siti offline.

Martin McKeay, senior security advocate di Akamai, ha dichiarato che il più grande attacco che la società aveva visto in precedenza è stato registrato all’inizio di quest’anno a 363 Gbps. Ma ha detto che c’era una grande differenza tra DDoS della scorsa notte e il precedente detentore del record: L’attacco 363 Gpbs si pensa sia stato generato da una botnet di sistemi compromessi che utilizzano tecniche ben note che consentono loro di “amplificare” un attacco relativamente piccolo in uno molto più grande.

Al contrario, l’enorme assalto di questa settimana sul mio sito sembra essere stato lanciato quasi esclusivamente da una grande botnet di dispositivi hackerati.

I più grandi attacchi DDoS registrati tendono ad essere il risultato di un metodo collaudato noto come attacco di riflessione DNS. In tali assalti, gli autori sono in grado di sfruttare i server DNS non gestiti sul Web per creare enormi inondazioni di traffico.

Idealmente, i server DNS forniscono solo servizi alle macchine all’interno di un dominio attendibile. Ma gli attacchi di riflessione DNS si basano su router consumer e aziendali e altri dispositivi dotati di server DNS configurati (mis)per accettare query da qualsiasi punto del Web. Gli aggressori possono inviare query DNS falsificate a questi cosiddetti server DNS “aperti ricorsivi”, falsificando la richiesta in modo che sembri provenire dalla rete del bersaglio. In questo modo, quando i server DNS rispondono, rispondono all’indirizzo (target) falsificato.

I cattivi possono anche amplificare un attacco riflettente creando query DNS in modo che le risposte siano molto più grandi delle richieste. Lo fanno sfruttando un’estensione al protocollo DNS che consente messaggi DNS di grandi dimensioni. Ad esempio, un utente malintenzionato potrebbe comporre una richiesta DNS di meno di 100 byte, richiedendo una risposta che è 60-70 volte più grande. Questo effetto di “amplificazione” è particolarmente pronunciato se gli autori interrogano dozzine di server DNS con queste richieste falsificate contemporaneamente.

Ma secondo Akamai, nessuno dei metodi di attacco impiegati nell’assalto di martedì sera a KrebsOnSecurity si basava sull’amplificazione o sulla riflessione. Piuttosto, molti erano metodi di attacco Web spazzatura che richiedono una connessione legittima tra l’host attaccante e il bersaglio, tra cui SYN, GET e POST flood.

Cioè, ad eccezione di un metodo di attacco: L’analisi preliminare del traffico di attacco suggerisce che forse il pezzo più grande dell’attacco è venuto sotto forma di traffico progettato per apparire come se fosse pacchetti di dati generic routing encapsulation (GRE), un protocollo di comunicazione utilizzato per stabilire una connessione diretta, point-to-point tra i nodi di rete. GRE consente a due peer di condividere dati che non sarebbero in grado di condividere sulla rete pubblica stessa.

“Vedere che molti attacchi provenienti da GRE è davvero insolito”, ha detto McKeay di Akamai. “Abbiamo iniziato a vederlo solo di recente, ma vederlo in questo volume è molto nuovo.”Continua a leggere →

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.