Video: Реклама подобрана на основе следующей информации: (Noiembrie 2024)
Indiferent de efectul asupra internetului, nimeni nu neagă că acest atac, cu un nivel de 300 Gbps, a fost cel mai mare atac DDoS înregistrat vreodată. Dar ce este un atac DDoS și ce apărări sunt disponibile?
Cum a funcționat atacul
Un atac de refuz de serviciu pur și simplu supraîncărcă serverele victimei inundându-le cu date, mai multe date decât serverele pot gestiona. Acest lucru poate perturba afacerea victimei sau poate denunța site-ul offline. Lansarea unui astfel de atac dintr-o singură locație Web este ineficientă, deoarece victima poate bloca rapid traficul. Atacatorii lansează adesea un atac de refuz de distribuire distribuit prin mii de computere neplăcute controlate de o botnet.
David Gibson, VP al Strategiei pentru compania globală de protecție a datelor Varonis, a explicat procesul în termeni simpli. "Imaginați-vă că un atacator vă poate strica numărul de telefon, astfel încât numărul dvs. să apară pe telefoanele altor persoane atunci când atacatorul sună", a spus el. "Acum imaginați-vă că atacatorul sună o mulțime de oameni și rămâne agățat înainte de a răspunde. Probabil că veți primi o grămadă de apeluri de la acei oameni… Acum imaginați-vă mii de atacatori care fac asta - cu siguranță va trebui să vă schimbați telefonul număr. Cu suficiente apeluri, întregul sistem de telefonie ar fi afectat."
Este nevoie de timp și efort pentru a configura o botnet sau bani pentru a închiria unul. În loc să se confrunte cu această problemă, atacul CyberBunker a profitat de sistemul DNS, o componentă absolut esențială a Internetului de astăzi.
CyberBunker a localizat zeci de mii de servere DNS care au fost vulnerabile la răspândirea adreselor IP - adică trimiterea unei cereri Web și falsificarea adresei de retur. O mică întrebare din partea atacatorului a avut ca rezultat un răspuns de sute de ori mai mare și toate aceste răspunsuri mari au lovit serverele victimei. Extinzând exemplul lui Gibson, este ca și cum fiecare dintre apelurile telefonice ale atacatorului ar transforma numărul tău către telemarketers rabiști.
Ce se poate face?
Nu ar fi frumos dacă cineva ar inventa tehnologia pentru a antrena astfel de atacuri? În adevăr, au deja, acum treisprezece ani. În mai 2000, Internet Engineering Task Force a lansat cele mai bune practici curente cunoscute sub denumirea de BCP38. BCP38 definește problema și descrie „o metodă simplă, eficientă și simplă… pentru a interzice atacurile DoS care folosesc adrese IP falsificate”.
"80% dintre furnizorii de internet au implementat deja recomandările în BCP38", a notat Gibson. "Restul de 20% este cel care rămâne responsabil pentru a permite traficul deteriorat." Spunând problema în termeni simpli, Gibson a spus: „Imaginează-ți dacă 20% dintre șoferi de pe drum nu respectă semnalele de trafic - nu ar mai fi în siguranță să conducă”.
Închideți-l
Problemele de securitate descrise aici se întâmplă la un nivel nivel, mult peste computerul de acasă sau de afaceri. Nu ești tu cel care poate sau ar trebui să implementeze o soluție; asta este o treabă pentru departamentul IT. Este important să se gestioneze corect distincția dintre două tipuri diferite de servere DNS. Au explicat Corey Nachreiner, CISSP și directorul Strategiei de securitate pentru compania de securitate a rețelelor WatchGuard.
"Un server DNS autoritar este unul care informează restul lumii despre domeniul companiei sau organizației dvs.", a spus Nachreiner. „Serverul dvs. autoritar ar trebui să fie disponibil pentru oricine de pe Internet, cu toate acestea, acesta ar trebui să răspundă doar la întrebările legate de domeniul companiei dvs.” Pe lângă serverul DNS autoritar orientat spre exterior, companiile au nevoie de un server DNS recursiv orientat spre interior. „Un server DNS recursiv este destinat să furnizeze căutări de domenii tuturor angajaților dvs.”, a explicat Nachreiner. „Ar trebui să poată răspunde la întrebările referitoare la toate site-urile de pe Internet, dar ar trebui să răspundă doar persoanelor din organizația dvs.”
Problema este că multe servere DNS recursive nu limitează corect răspunsurile la rețeaua internă. Pentru a realiza un atac de reflecție DNS, cei răi trebuie doar să găsească o mulțime de servere configurate incorect. "În timp ce întreprinderile au nevoie de servere DNS recursive pentru angajații lor", a concluzionat Nachreiner, "NU ar trebui să deschidă aceste servere la cererile de la nimeni de pe Internet."
Rob Kraus, director de cercetare al echipei de cercetare a ingineriei soluției (SERT), a subliniat că „cunoașterea arhitecturii dvs. DNS cu adevărat din interior, precum și din exterior, poate ajuta la identificarea lacunelor din cadrul organizațiilor dvs. desfășurarea DNS”. El a recomandat să se asigure că toate serverele DNS sunt complet plasate și securizate la spec. Pentru a vă asigura că ați făcut-o corect, Kraus sugerează că „utilizarea exercițiilor de hacking etic ajută la descoperirea unor configurații greșite”.
Da, există alte modalități de a lansa atacuri DDoS, dar reflectarea DNS este deosebit de eficientă datorită efectului de amplificare, în care o cantitate mică de trafic de la atacator generează o cantitate imensă de intrare în victimă. Oprirea acestei căi speciale va obliga cel puțin ciberneticii să inventeze un nou tip de atac. Acesta este un progres.