Krebs o bezpieczeństwie

we wtorek wieczorem, KrebsOnSecurity.com był celem niezwykle dużego i niezwykłego ataku DDoS (distributed denial-of-service), który miał na celu wyłączenie strony z sieci. Atak nie powiódł się dzięki ciężkiej pracy inżynierów w firmie Akamai, która chroni moją witrynę przed takimi cyfrowymi oblężeniami. Ale według Akamai, był to prawie dwa razy większy niż największy atak, jaki widzieli wcześniej, i był jednym z największych ataków, jakich Internet kiedykolwiek widział.
iotstuf

20, a wstępne raporty wskazują na Około 665 Gigabitów ruchu na sekundę. Dodatkowa analiza ruchu ataku sugeruje, że atak był bliższy rozmiarowi 620 Gbps, ale w każdym razie jest to o wiele rzędów wielkości większy ruch niż jest zwykle potrzebny do wyłączenia większości witryn w trybie offline.

Martin McKeay, starszy rzecznik ds. bezpieczeństwa Akamai, powiedział, że największy atak, jaki firma widziała wcześniej, miał miejsce na początku tego roku i wynosił 363 Gb / s. Ale powiedział, że istnieje duża różnica między wczorajszymi atakami DDoS a poprzednim rekordzistą: uważa się, że atak 363 Gpbs został wygenerowany przez botnet skompromitowanych systemów przy użyciu znanych technik pozwalających na “wzmocnienie” stosunkowo małego ataku na znacznie większy.

w przeciwieństwie do tego, ogromny atak w tym tygodniu na moją stronę wydaje się być uruchomiony prawie wyłącznie przez bardzo duży botnet zhakowanych urządzeń.

największe ataki DDoS w zapisie są zwykle wynikiem wypróbowanej metody znanej jako atak odbiciowy DNS. W takich atakach sprawcy są w stanie wykorzystać niezarządzane serwery DNS w Internecie, aby stworzyć ogromne powodzi ruchu.

najlepiej, aby serwery DNS świadczyły usługi tylko dla maszyn w zaufanej domenie. Ale ataki odbiciowe DNS polegają na routerach konsumenckich i biznesowych oraz innych urządzeniach wyposażonych w serwery DNS, które są (błędnie)skonfigurowane do przyjmowania zapytań z dowolnego miejsca w sieci. Atakujący mogą wysyłać fałszywe zapytania DNS do tak zwanych “otwartych rekurencyjnych” serwerów DNS, tworząc żądanie tak, aby wydawało się, że pochodzi ono z sieci docelowej. W ten sposób, gdy serwery DNS odpowiadają, odpowiadają na fałszywy (docelowy) adres.

bad guys również może wzmocnić atak refleksyjny przez tworzenie zapytań DNS tak, że odpowiedzi są znacznie większe niż żądania. Robią to, korzystając z rozszerzenia protokołu DNS, który umożliwia Duże wiadomości DNS. Na przykład atakujący może skomponować żądanie DNS o długości mniejszej niż 100 bajtów, co spowoduje, że odpowiedź będzie 60-70 razy większa. Ten efekt “wzmocnienia” jest szczególnie wyraźny, jeśli sprawcy zapytają dziesiątki serwerów DNS z tymi fałszywymi żądaniami jednocześnie.

ale według Akamai żadna z metod ataku zastosowanych we wtorkowym ataku na Krebsons nie polegała na wzmocnieniu lub odbiciu. Wiele z nich było raczej śmieciowymi metodami ataku sieciowego, które wymagają legalnego połączenia między atakującym hostem a celem, w tym syn, GET i POST floods.

czyli z wyjątkiem jednej metody ataku: Wstępna analiza ruchu ataku sugeruje, że prawdopodobnie największy fragment ataku przyszedł w formie ruchu zaprojektowanego tak, aby wyglądał jak pakiety danych generic routing encapsulation (GRE), protokół komunikacyjny używany do ustanowienia bezpośredniego połączenia punkt-punkt między węzłami sieci. GRE pozwala dwóm rówieśnikom udostępniać dane, których nie mogliby udostępniać w samej sieci publicznej.

“widząc, że atak z GRE jest naprawdę niezwykły” – powiedział McKeay Akamai. “Zaczęliśmy to widzieć dopiero niedawno, ale oglądanie tego w tym tomie jest bardzo nowe.”Czytaj dalej →

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.