Videó: PCH's Bill Woodcock explains the DDOS attack on Spamhaus (November 2024)
Bármi legyen is az internetre gyakorolt hatása, senki sem tagadja, hogy ez a támadás, amelynek csúcsértéke 300 Gbps volt, volt a legnagyobb DDoS támadás, amit valaha rögzítettek. De mi az a DDoS támadás, és milyen védelmi lehetőségek állnak rendelkezésre?
Hogyan működött a támadás?
A szolgáltatásmegtagadási támadás egyszerűen túlterheli az áldozat szervereit az adatokkal való elárasztással, több adatkal, mint a kiszolgálók képesek kezelni. Ez megzavarhatja az áldozat üzleti vállalkozását, vagy offline állapotban kopogtathatja webhelyét. Az ilyen támadás egyetlen webhelyről történő indítása nem hatékony, mivel az áldozat gyorsan blokkolja a forgalmat. A támadók gyakran elosztanak egy elosztott szolgáltatásmegtagadási támadást egy botnet által irányított szerencsétlen számítógépek ezrein keresztül.
David Gibson, a Varonis globális adatvédelmi társaság stratégiai elnökhelyettese egyszerűen magyarázta a folyamatot. "Képzelje el, hogy valamelyik támadó elronthatja a telefonszámát, hogy az Ön telefonszáma mások telefonján jelenjen meg, amikor a támadó felhívja" - mondta. "Most képzelje el, hogy a támadó felhív egy csomó embert és felfüggeszti, mielőtt válaszol. Valószínűleg egy csomó hívást fog visszahívni azoktól az emberektől. Most képzelje el, hogy támadók ezrei csinálják ezt - minden bizonnyal meg kell cserélnie a telefonját. Ha elég számú hívás lenne, akkor a teljes telefonrendszer káros lenne."
Időbe telik és erőfeszítéseket igényel a botnet felállítása, vagy pénzt annak bérléséhez. Ahelyett, hogy a bajba kerülne, a CyberBunker támadása kihasználta a DNS-rendszer előnyeit, amely a mai Internet abszolút nélkülözhetetlen eleme.
A CyberBunker több tízezer DNS-kiszolgálót talált, amelyek érzékenyek az IP-cím hamisításra, vagyis egy webes kérés küldésére és a visszatérési cím kitöltésére. A támadó egy apró lekérdezése százszor nagyobb választ eredményezett, és ezek a nagy válaszok az áldozat szervereire érkeztek. Ha kibővítjük Gibson példáját, úgy tűnik, mintha a támadó összes telefonhívása a veszedelmes telemarkerek felé fordítaná a számát.
Mit lehet tenni?
Nem lenne jó, ha valaki technológiát találna ki az ilyen támadások leküzdésére? Valójában már tizenhárom évvel ezelőtt. 2000 májusában az Internet Engineering Munkacsoport kiadta a BCP38 néven ismert legjobb gyakorlati tanulmányt. A BCP38 meghatározza a problémát és leírja "egy egyszerű, hatékony és egyértelmű módszert… a DoS támadások tiltására, amelyek hamis IP címeket használnak".
"Az internetszolgáltatók 80% -a már végrehajtotta az ajánlásokat a BCP38-ban" - jegyezte meg Gibson. "A fennmaradó 20 százalék felel továbbra is a hamis forgalom engedélyezéséért." Gibson egyszerűen fogalmazva: "Képzelje el, ha az úton lévő sofőrök 20% -a nem tartja be a jelzéseket - már nem lesz biztonságos vezetni."
Zárja le
Az itt ismertetett biztonsági problémák szintjén, az otthoni vagy üzleti számítógép felett helyezkednek el. Ön nem az, aki képes vagy kellene megvalósítania egy megoldást; ez az informatikai osztály feladata. Fontos szempont, hogy az IT srácoknak helyesen kell kezelniük a különbséget a két különféle DNS szerver között. Corey Nachreiner, a CISSP és a WatchGuard hálózati biztonsági társaság biztonsági stratégiájának igazgatója magyarázta.
"Az autoritatív DNS-kiszolgáló az, amely elmondja a világ többi részének az Ön cége vagy szervezete domainjéről" - mondta Nachreiner. "Az Ön hiteles szerverének bárki számára elérhetőnek kell lennie az interneten, azonban csak a vállalat domainjével kapcsolatos kérdésekre kell válaszolnia." A kifelé néző, tekintélyes DNS-kiszolgálón kívül a vállalatoknak befelé mutató rekurzív DNS-kiszolgálóra is szükségük van. "A rekurzív DNS-kiszolgáló célja a domain-keresések biztosítása az összes alkalmazott számára" - magyarázta Nachreiner. "Lehetséges, hogy válaszoljon az interneten található összes webhely kérdéseire, de csak a szervezetének embereire kell válaszolnia."
A probléma az, hogy sok rekurzív DNS-kiszolgáló nem korlátozza helyesen a belső hálózatra adott válaszokat. A DNS reflexió támadás végrehajtásához a rossz fiúknak csak egy csomó hibát kell találniuk a helytelenül konfigurált szerverekről. "Miközben a vállalkozásoknak rekurzív DNS-kiszolgálókra van szükségük alkalmazottaik számára, " fejezte be Nachreiner, "NEM TUDNIVALJA ezeket a kiszolgálókat az interneten bárki kérésére".
Rob Kraus, a Solutionary Mérnöki Kutatócsoportjának (SERT) kutatási igazgatója rámutatott, hogy "ha a DNS-architektúrája belülről és kívülről is valóban néz ki, elősegítheti a hiányosságokat a szervezetek DNS-telepítésében". Javasolta annak biztosítását, hogy az összes DNS-kiszolgáló tökéletesen javításra kerüljön és a specifikációkhoz legyen biztonságos. Annak biztosítása érdekében, hogy helyesen tette, Kraus azt javasolja, hogy "az etikus hackelés gyakorlatokkal segítsenek felfedni a téves konfigurációkat".
Igen, vannak más módok is a DDoS támadások elindítására, de a DNS-reflexió különösen hatékony az amplifikációs hatás miatt, ahol a támadó kis forgalma hatalmas mennyiséget generál az áldozatba. Az adott utca leállítása legalább arra kényszeríti a számítógépes bűnözőket, hogy új típusú támadásokat találjanak ki. Ez egyfajta haladás.
