Domov Securitywatch Pochopenie útoku spamhaus ddos

Pochopenie útoku spamhaus ddos

Video: Реклама подобрана на основе следующей информации: (November 2024)

Video: Реклама подобрана на основе следующей информации: (November 2024)
Anonim

Distribuované odmietnutie služby je témou dňa kvôli nedávnemu masívnemu útoku DDoS zo strany holandského webového hostiteľa CyberBunkera proti agentúre SpamHaus na boj proti spamu. Aké významné bolo vedľajšie poškodenie zvyšku internetu? CloudFlare, spoločnosť zaoberajúca sa webovou bezpečnosťou, ktorá sa priamo podieľa na obrane SpamHaus proti útoku, ju prirovnala k jadrovej bombe, ale spoločnosť Keynote Systems, spoločnosť, ktorá sleduje dostupnosť webových stránok a reakčný čas, uviedla, že to nie je nič viac ako prekliatie.

Bez ohľadu na vplyv na internet celkovo nikto nepopiera, že tento útok, ktorý dosiahol vrchol 300 Gbps, bol najväčším útokom DDoS, aký bol kedy zaznamenaný. Čo je to však útok DDoS a aké obranné prostriedky sú k dispozícii?

Ako útok fungoval

Útok typu Denial of Service jednoducho preťaží servery obete tak, že ich zaplaví údajmi, a tým viac údajov, ako servery dokážu spracovať. Môže to narušiť podnikanie obete alebo vyradiť jej webovú stránku z režimu offline. Spustenie takého útoku z jedného webového miesta je neúčinné, pretože obeť môže tento prenos rýchlo zablokovať. Útočníci často spustia útok na distribuované odmietnutie služby prostredníctvom tisícov počítačov bez nehôd riadených botnetom.

David Gibson, viceprezident pre stratégiu globálnej spoločnosti na ochranu údajov Varonis, tento proces vysvetlil jednoducho. „Predstavte si, že by niektorý útočník mohol spoofovať vaše telefónne číslo, aby sa vaše číslo zobrazilo na telefóne iných ľudí, keď útočník zavolá, “ uviedol. „Teraz si predstavte, že útočník volá veľa ľudí a zavesí skôr, ako odpovedia. Pravdepodobne dostanete od týchto ľudí veľa hovorov… Teraz si predstavte, že to robia tisíce útočníkov - určite by ste si mali zmeniť telefón. číslo. S dostatočným počtom hovorov by bol narušený celý telefónny systém. ““

Zriadenie botnetu alebo peňazí na jeho zriadenie si vyžaduje čas a úsilie. Skôr než ísť na tento problém, útok CyberBunker využil systém DNS, čo je absolútne nevyhnutná súčasť dnešného internetu.

CyberBunker lokalizoval desiatky tisíc serverov DNS, ktoré boli citlivé na spoofing adries IP - to znamená odosielanie webovej požiadavky a falšovanie spiatočnej adresy. Malý dotaz od útočníka vyústil do odpovede stokrát tak veľkej a všetky tieto veľké reakcie zasiahli servery obete. Ako príklad uvádzame Gibsona, ako keby každý z útočníkovho telefonátu obrátil vaše číslo na odporných telemarketov.

Čo sa dá urobiť?

Nebolo by pekné, keby niekto vymyslel technológiu, ktorá by takéto útoky zmarila? Po pravde povedané, majú to už pred trinástimi rokmi. V máji 2000 vydala pracovná skupina pre internetové inžinierstvo dokument o najlepších súčasných postupoch známych ako BCP38. BCP38 definuje problém a opisuje „jednoduchú, účinnú a priamu metódu… zakázať útoky DoS, ktoré používajú kované adresy IP“.

„80 percent poskytovateľov internetu už implementovalo odporúčania v BCP38, “ poznamenal Gibson. „Zostávajúce 20% zostáva zodpovedných za umožnenie falošnej premávky.“ Jednoducho povedané, Gibson povedal: „Predstavte si, že ak 20 percent vodičov na ceste neposlúchne dopravné signály - už by nebolo bezpečné jazdiť.“

Zamknite to

Problémy s bezpečnosťou, ktoré sú tu popísané, sa vyskytujú rovnomerne, nad vaším domácim alebo pracovným počítačom. Nie ste ten, kto môže alebo by mal implementovať riešenie; to je práca pre IT oddelenie. Dôležité je, že IT chlapci musia správne spravovať rozdiel medzi dvoma rôznymi druhmi serverov DNS. Corey Nachreiner, CISSP a riaditeľ bezpečnostnej stratégie pre spoločnosť NetworkGuard WatchGuard, vysvetlili.

„Autoritatívny server DNS je server, ktorý hovorí zvyšku sveta o doméne vašej spoločnosti alebo organizácie, “ povedal Nachreiner. „Váš autoritatívny server by mal byť k dispozícii každému na internete, mal by však odpovedať iba na otázky týkajúce sa domény vašej spoločnosti.“ Okrem autoritatívneho servera DNS smerujúceho von, spoločnosti potrebujú rekurzívny server DNS smerujúci dovnútra. „Rekurzívny server DNS je určený na poskytovanie vyhľadávania domén všetkým vašim zamestnancom, “ vysvetlil Nachreiner. „Mal by byť schopný odpovedať na otázky týkajúce sa všetkých stránok na internete, ale mal by odpovedať iba ľuďom vo vašej organizácii.“

Problém je v tom, že mnoho rekurzívnych serverov DNS správne neobmedzuje reakcie na internú sieť. Na vykonanie útoku odrazu DNS musia zbabelci jednoducho nájsť veľa nesprávne nakonfigurovaných serverov. „Podniky síce potrebujú rekurzívne servery DNS pre svojich zamestnancov, “ uzavrel Nachreiner, „NEMALI SI tieto servery otvárať na požiadavky kohokoľvek na internete.“ “

Rob Kraus, riaditeľ výskumu v tíme inžinierskeho výskumu spoločnosti Solutionary (SERT), poukázal na to, že „vedieť, ako vaša architektúra DNS skutočne vyzerá zvnútra aj zvonka, môže pomôcť odhaliť medzery vo využívaní DNS v organizáciách.“ Odporučil, aby boli všetky servery DNS plne opravené a zabezpečené podľa špecifikácie. Aby sa ubezpečil, že ste to urobili správne, Kraus navrhuje „použitie etických hackerských cvičení pomáha odhaliť nesprávne konfigurácie“.

Áno, existujú aj iné spôsoby, ako spustiť útoky DDoS, ale odraz DNS je obzvlášť efektívny z dôvodu zosilňovacieho efektu, keď malé množstvo prenosu od útočníka vygeneruje obrovské množstvo prichádzajúce do obete. Vypnutie tejto konkrétnej cesty prinúti kybernetických zločincov prinútiť prinútiť sa, aby vymysleli nový druh útoku. To je nejaký pokrok.

Pochopenie útoku spamhaus ddos