У дома Securitywatch Разбиране на атаката на spamhaus ddos

Разбиране на атаката на spamhaus ddos

Видео: PCH's Bill Woodcock explains the DDOS attack on Spamhaus (Ноември 2024)

Видео: PCH's Bill Woodcock explains the DDOS attack on Spamhaus (Ноември 2024)
Anonim

Разпространеното отричане на услуга е темата на деня, поради неотдавнашната масирана DDoS атака от холандския уеб-хост CyberBunker срещу агенция за борба със спама SpamHaus. Колко значителни бяха обезпечителните щети върху останалата част от Интернет? CloudFlare, компания за уеб сигурност, пряко участваща в защитата на SpamHaus срещу атаката, я оприличи на ядрена бомба, но Keynote Systems, компания, която проследява наличността на уебсайта и времето за реакция, заяви, че това не е нищо повече от кратък момент.

Какъвто и да е ефектът върху интернет като цяло, никой не отрича, че тази атака, достигаща максимална скорост от 300 Gbps, беше най-голямата DDoS атака, регистрирана някога. Но само какво е DDoS атака и какви защити са налични?

Как работи атаката

Атаката на отказ от услуга просто претоварва сървърите на жертвата, като ги залива с данни, повече данни, отколкото сървърите могат да се справят. Това може да наруши бизнеса на жертвата или да чука уебсайта й офлайн. Стартирането на такава атака от едно уеб място е неефективно, тъй като жертвата може бързо да блокира този трафик. Нападателите често стартират атака на разпределено отказване на услуга чрез хиляди нещастни компютри, контролирани от ботнет.

Дейвид Гибсън, вицепрезидент на стратегията за глобална компания за защита на данните Varonis, обясни процеса с прости думи. „Представете си, че някой нападател може да измами вашия телефонен номер, така че номерът ви да се показва на телефоните на други хора, когато нападателят се обади“, каза той. "А сега си представете, че нападателят се обажда на куп хора и затвори, преди да отговорят. Вероятно ще получите куп обаждания от тези хора… Сега си представете хиляди нападатели, които правят това - със сигурност ще трябва да смените телефона си номер. При достатъчно обаждания цялата телефонна система ще бъде нарушена."

Необходимо е време и усилия, за да създадете ботнет или пари, за да наемете такава. Вместо да отиде на тази беда, атаката на CyberBunker се възползва от DNS системата, абсолютно съществен компонент на днешния Интернет.

CyberBunker намира десетки хиляди DNS сървъри, които са уязвими за подправяне на IP адреси - тоест изпращане на заявка в Интернет и фалшифициране на адреса за връщане. Малка заявка от нападателя доведе до отговор стотици пъти по-голям и всички тези големи отговори удариха сървърите на жертвата. Разширявайки примера на Гибсън, сякаш всяко от телефонните обаждания на нападателя е преобърнало номера ви към яростни телемаркери.

Какво може да се направи?

Не би ли било хубаво, ако някой измисли технология за фолиране на подобни атаки? В интерес на истината, те вече имат, преди тринадесет години. През май 2000 г., Специализираната група за интернет инженеринг публикува документа за най-добри текущи практики, известен като BCP38. BCP38 дефинира проблема и описва "прост, ефективен и лесен метод… за забрана на DoS атаки, които използват подправени IP адреси."

„80 процента от интернет доставчиците вече са приложили препоръките в BCP38“, отбеляза Гибсън. „Оставащите 20 процента остават отговорни за разрешаването на измамен трафик.“ Казано по-просто проблема, Гибсън каза: „Представете си, ако 20 процента от шофьорите на пътя не спазват сигнали за движение - вече няма да е безопасно за шофиране“.

Заключете го

Проблемите със сигурността, описани тук, се случват на ниво, далеч над вашия домашен или бизнес компютър. Вие не сте този, който може или трябва да приложи решение; това е работа за IT отдела. Важното е, че ИТ момчетата трябва правилно да управляват разграничението между два различни вида DNS сървъри. Кори обясни Corey Nachreiner, CISSP и директор на Стратегията за сигурност на компанията за мрежова сигурност WatchGuard.

„Авторитетен DNS сървър е този, който казва на останалия свят за домейна на вашата компания или организация“, каза Nachreiner. „Вашият авторитетен сървър трябва да е достъпен за всички в Интернет, но той трябва да отговаря само на запитвания относно домейна на вашата компания.“ В допълнение към ориентирания към външността авторитетен DNS сървър, компаниите се нуждаят от насочен навътре рекурсивен DNS сървър. „Рекурсивният DNS сървър е предназначен да предоставя търсения на домейни на всички ваши служители“, обясни Nachreiner. „Тя трябва да може да отговаря на запитвания за всички сайтове в Интернет, но трябва да отговаря само на хора от вашата организация.“

Проблемът е, че много рекурсивни DNS сървъри не ограничават правилно отговорите на вътрешната мрежа. За да извършат DNS атака за размисъл, лошите трябва просто да намерят куп от тези неправилно конфигурирани сървъри. "Докато предприятията се нуждаят от рекурсивни DNS сървъри за своите служители", заключи Nachreiner, "НЕ ТРЯБВА да отварят тези сървъри за заявки от никого в Интернет."

Роб Краус, директор на изследователския екип на Инженерния изследователски екип на Solutionary (SERT), посочи, че „знаейки как наистина изглежда вашата DNS архитектура отвътре, както и отвън, може да помогне за идентифициране на пропуски във разполагането на DNS на вашите организации“. Той посъветва да се гарантира, че всички DNS сървъри са пълни и защитени до спецификации. За да е сигурен, че сте се справили правилно, Краус предлага „използването на етични хакерски упражнения помага да се разкрият неправилни конфигурации“.

Да, има и други начини за стартиране на DDoS атаки, но DNS отражението е особено ефективно поради ефекта на усилване, при който малко количество трафик от нападателя генерира огромно количество, влизащо в жертвата. Изключването на този конкретен авеню ще принуди поне киберпрестъпниците да измислят нов вид атака. Това е един вид напредък.

Разбиране на атаката на spamhaus ddos