Krebs on Security

op dinsdagavond, KrebsOnSecurity.com was het doelwit van een extreem grote en ongebruikelijke distributed denial-of-service (DDoS) aanval ontworpen om de site offline te halen. De aanval slaagde niet dankzij het harde werk van de ingenieurs van Akamai, het bedrijf dat mijn site beschermt tegen dergelijke digitale belegeringen. Maar volgens Akamai was het bijna twee keer zo groot als de grootste aanval die ze eerder hadden gezien, en was het een van de grootste aanvallen die het Internet ooit heeft gezien.
iotstuf

De aanval begon rond 20: 00 ET op Sept. 20, en de eerste rapporten zetten het op ongeveer 665 Gigabit verkeer per seconde. Extra analyse van de aanval verkeer suggereert dat de aanval was dichter bij 620 Gbps in grootte, maar in ieder geval is dit veel ordes van grootte meer verkeer dan meestal nodig is om de meeste sites offline kloppen.

Martin McKeay, Akamai ‘ s senior Security advocate, zei dat de grootste aanval het bedrijf eerder had gezien geklokt in eerder dit jaar op 363 Gbps. Maar hij zei dat er een groot verschil was tussen de DDoS van gisteravond en de vorige recordhouder: de 363 Gpbs-aanval wordt verondersteld te zijn gegenereerd door een botnet van gecompromitteerde systemen met behulp van bekende technieken waardoor ze een relatief kleine aanval kunnen “versterken” in een veel grotere.

in tegenstelling, de enorme aanval deze week op mijn site lijkt te zijn gelanceerd bijna uitsluitend door een zeer groot botnet van gehackte apparaten.

de grootste DDoS-aanvallen ooit zijn het resultaat van een beproefde methode die bekend staat als een DNS reflectie-aanval. In dergelijke aanvallen, de daders zijn in staat om gebruik te maken van onbeheerde DNS-servers op het Web om enorme verkeer overstromingen te creëren.

idealiter leveren DNS-servers alleen diensten aan machines binnen een vertrouwd domein. Maar DNS reflectie-aanvallen zijn afhankelijk van consumenten-en zakelijke routers en andere apparaten die zijn uitgerust met DNS-servers die (mis)zijn geconfigureerd om query ‘ s te accepteren vanaf elke locatie op het Web. Aanvallers kunnen spoofed DNS queries te sturen naar deze zogenaamde “open recursieve” DNS-servers, het smeden van het verzoek, zodat het lijkt te komen uit het netwerk van het doel. Op die manier, wanneer de DNS-servers reageren, ze antwoorden op het vervalste (doel) adres.

de slechteriken kunnen ook een reflectieve aanval versterken door DNS-query ‘ s te maken, zodat de antwoorden veel groter zijn dan de verzoeken. Ze doen dit door gebruik te maken van een uitbreiding van het DNS-protocol dat grote DNS-berichten mogelijk maakt. Een aanvaller kan bijvoorbeeld een DNS-verzoek samenstellen van minder dan 100 bytes, waardoor een antwoord wordt gevraagd dat 60-70 keer zo groot is. Deze “versterking” effect is vooral uitgesproken als de daders query tientallen DNS-servers met deze vervalste Verzoeken tegelijkertijd.

maar volgens Akamai was geen van de aanvalsmethoden die gebruikt werden bij de aanval op KrebsOnSecurity van dinsdagavond gebaseerd op versterking of reflectie. In plaats daarvan, veel waren vuilnis Web aanval methoden die een legitieme verbinding tussen de aanvallende host en het doel vereisen, met inbegrip van SYN, GET en post overstromingen.

dat wil zeggen, met uitzondering van één aanvalsmethode: Voorlopige analyse van de aanval verkeer suggereert dat misschien wel het grootste deel van de aanval kwam in de vorm van verkeer ontworpen om eruit te zien als het was generic routing encapsulation (GRE) datapakketten, een communicatieprotocol gebruikt om een directe, point-to-point verbinding tussen netwerkknooppunten. GRE laat twee collega ‘ s gegevens delen die ze niet zouden kunnen delen via het openbare netwerk zelf.

“zien dat veel aanval komt van GRE is echt ongebruikelijk, “Akamai’ s McKeay zei. “Dat zien we pas sinds kort, maar het zien op dit volume is heel nieuw.”Continue reading →

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.