Krebs on Security

na terça-feira à noite, KrebsOnSecurity.com foi alvo de um ataque de negação de serviço (DDoS) extremamente grande e incomum, projetado para derrubar o site offline. O ataque não foi bem sucedido graças ao trabalho árduo dos engenheiros da Akamai, a empresa que protege meu site de tais cercos digitais. Mas de acordo com Akamai, foi quase o dobro do tamanho do maior ataque que já tinham visto antes, e estava entre os maiores assaltos que a Internet já testemunhou.
iotstuf

o ataque começou por volta das 20 horas ET em Setembro. 20, e os relatórios iniciais indicam aproximadamente 665 Gigabits de tráfego por segundo. Análise adicional sobre o tráfego de ataque sugere que o ataque foi mais perto de 620 Gbps em tamanho, mas em qualquer caso, este é muitas ordens de magnitude mais tráfego do que é normalmente necessário para derrubar a maioria dos sites offline.Martin McKeay, advogado sênior de segurança de Akamai, disse que o maior ataque que a empresa já tinha visto marcado no início deste ano em 363 Gbps. Mas ele disse que havia uma grande diferença entre o DDoS de ontem à noite e o anterior recordista: acredita-se que o ataque 363 Gpbs tenha sido gerado por uma botnet de sistemas comprometidos usando técnicas bem conhecidas que lhes permitem “amplificar” um ataque relativamente pequeno em um muito maior.

Em contraste, o enorme ataque esta semana no meu site parece ter sido lançado quase exclusivamente por um botnet muito grande de dispositivos hackeados.

os maiores ataques DDoS registrados tendem a ser o resultado de um método experimentado e verdadeiro conhecido como um ataque de reflexão DNS. Em tais ataques, os perpetradores são capazes de alavancar servidores DNS não gerenciados na Web para criar enormes inundações de tráfego.idealmente, os servidores DNS só fornecem serviços a máquinas dentro de um domínio de confiança. Mas os ataques de reflexão DNS dependem de roteadores de consumo e negócios e outros dispositivos equipados com servidores DNS que são (mis)configurados para aceitar consultas de qualquer lugar na Web. Os atacantes podem enviar consultas DNS Falsificadas para esses servidores DNS chamados “open recursive”, forjando o pedido de modo que ele parece vir da rede do alvo. Dessa forma, quando os servidores DNS respondem, eles respondem ao endereço spoofed (target).

os bandidos também podem amplificar um ataque reflexivo por crafting DNS consultas de modo que as respostas são muito maiores do que os pedidos. Eles fazem isso aproveitando – se de uma extensão ao protocolo DNS que permite grandes mensagens DNS. Por exemplo, um atacante poderia compor um pedido de DNS de menos de 100 bytes, levando uma resposta que é 60-70 vezes maior. Este efeito de “amplificação” é especialmente pronunciado se os autores questionam dezenas de servidores DNS com estes pedidos falsificados simultaneamente.mas de acordo com Akamai, nenhum dos métodos de ataque empregados no assalto de terça-feira à noite em KrebsOnSecurity dependia de amplificação ou reflexão. Em vez disso, muitos eram métodos de Ataque à rede de lixo que exigem uma ligação legítima entre o host atacante e o alvo, incluindo SYN, GET e pós inundações.isto é, com excepção de um método de ataque: A análise preliminar do tráfego de ataque sugere que talvez o maior pedaço do ataque veio na forma de tráfego projetado para parecer que era pacotes de dados de encapsulação de roteamento Genérico (GRE), um protocolo de comunicação usado para estabelecer uma conexão direta, ponto-a-ponto entre os nós de rede. O GRE permite que dois pares compartilhem dados que não seriam capazes de compartilhar através da própria rede pública.

“ver que muito ataque vindo de GRE é realmente incomum”, McKeay de Akamai disse. “Nós só começamos a ver isso recentemente, mas vê – lo neste volume é muito novo.”Continue lendo →

Deixe uma resposta

O seu endereço de email não será publicado.