Krebs pe Securitate

marți seara, KrebsOnSecurity.com a fost ținta unui atac de Denial-of-service distribuit extrem de mare și neobișnuit (DDoS) conceput pentru a bate site-ul offline. Atacul nu a reușit datorită muncii grele a inginerilor de la Akamai, compania care îmi protejează site-ul de astfel de asedii digitale. Dar, potrivit lui Akamai, a fost aproape dublu față de cel mai mare atac pe care l-au văzut anterior și a fost printre cele mai mari atacuri la care a asistat Internetul.
iotstuf

atacul a început în jurul orei 8 p.m. și în septembrie. 20, iar rapoartele inițiale îl plasează la aproximativ 665 gigabiți de trafic pe secundă. Analiza suplimentară a traficului de atac sugerează că asaltul a fost mai aproape de 620 Gbps, dar în orice caz, acesta este cu multe ordine de mărime mai mult trafic decât este de obicei necesar pentru a bate majoritatea site-urilor offline.Martin McKeay, avocatul de securitate al Akamai, a declarat că cel mai mare atac pe care compania l-a văzut anterior a avut loc la începutul acestui an la 363 Gbps. Dar el a spus că există o diferență majoră între DDoS de aseară și deținătorul recordului anterior: atacul 363 Gpbs se crede că a fost generat de un botnet de sisteme compromise folosind tehnici cunoscute care le permit să “amplifice” un atac relativ mic într-unul mult mai mare.

în schimb, asaltul uriaș din această săptămână pe site-ul meu pare să fi fost lansat aproape exclusiv de un botnet foarte mare de dispozitive hacked.

cele mai mari atacuri DDoS înregistrate tind să fie rezultatul unei metode încercate și adevărate cunoscute sub numele de atac de reflecție DNS. În astfel de atacuri, autorii sunt capabili să utilizeze serverele DNS neadministrate pe Web pentru a crea inundații uriașe de trafic.

în mod ideal, serverele DNS oferă servicii numai mașinilor dintr-un domeniu de încredere. Dar atacurile de reflecție DNS se bazează pe routerele de consum și de afaceri și pe alte dispozitive echipate cu servere DNS configurate (greșit)pentru a accepta interogări de oriunde de pe Web. Atacatorii pot trimite interogări DNS falsificate către aceste așa-numite servere DNS “recursive deschise”, falsificând cererea astfel încât să pară că provine din rețeaua țintă. În acest fel, atunci când serverele DNS răspund, răspund la adresa falsificată (țintă).

băieții răi, de asemenea, poate amplifica un atac reflectorizant de crafting interogări DNS, astfel încât răspunsurile sunt mult mai mari decât cererile. Ei fac acest lucru profitând de o extensie a protocolului DNS care permite mesaje DNS mari. De exemplu, un atacator ar putea compune o solicitare DNS de mai puțin de 100 de octeți, determinând un răspuns de 60-70 de ori mai mare. Acest efect de” amplificare ” este deosebit de pronunțat dacă autorii interoghează simultan zeci de servere DNS cu aceste solicitări falsificate.dar, potrivit lui Akamai, niciuna dintre metodele de atac folosite în atacul de marți seara asupra KrebsOnSecurity nu s-a bazat pe amplificare sau reflecție. Mai degrabă, multe au fost metode de atac web de gunoi care necesită o legătură legitimă între gazda atacantă și țintă, inclusiv SYN, GET și post inundații.

adică, cu excepția unei metode de atac: Analiza preliminară a traficului de atac sugerează că, probabil, cea mai mare parte a atacului a venit sub forma traficului conceput pentru a arăta ca și cum ar fi fost pachete de date generice de încapsulare de rutare (GRE), un protocol de comunicare utilizat pentru a stabili o conexiune directă, Punct-la-punct între nodurile de rețea. GRE permite celor doi colegi să partajeze date pe care nu le-ar putea partaja prin rețeaua publică în sine.

“văzând că atacul vine de la GRE este cu adevărat neobișnuit”, a spus Mckeay de la Akamai. “Am început să vedem asta recent, dar să vedem la acest volum este foarte nou.”Citeste tot articolul

Lasă un răspuns

Adresa ta de email nu va fi publicată.