Video: PCH's Bill Woodcock explains the DDOS attack on Spamhaus (November 2024)
Ne glede na učinek na internetu na splošno nihče ne zanika, da je bil ta napad največji 300 Gbps največji DDoS napad doslej. Toda kaj je DDoS napad in kakšne obrambe so na voljo?
Kako je napad deloval
Napad za odrekanje storitve preprosto preobremeni strežnike žrtve, tako da jih preplavijo podatki, več podatkov, kot jih strežniki lahko prenesejo. To lahko moti poslovanje žrtev ali pokvari njegovo spletno mesto brez povezave. Zagon takega napada z ene same spletne lokacije je neučinkovit, saj lahko žrtev ta promet hitro blokira. Napadalci pogosto sprožijo napad distribuirane zavrnitve storitve prek tisočih nesrečnih računalnikov, ki jih nadzoruje botnet.
David Gibson, podpredsednik strategije za svetovno podjetje za varstvo podatkov Varonis, je postopek razložil na preprost način. "Predstavljajte si, da lahko napadalec pokvari vašo telefonsko številko, tako da se vaša številka prikaže na telefonih drugih ljudi, ko napadalec pokliče, " je dejal. "Zdaj si predstavljajte, da napadalec pokliče kup ljudi in se odloži, preden se bodo odzvali. Verjetno boste prejeli kup klicev od teh ljudi… Zdaj si predstavljajte tisoče napadalcev - zagotovo bi morali zamenjati telefon številka. Z dovolj klicev bi bil celoten telefonski sistem oslabljen."
Za postavitev botneta je potrebnega časa in truda, če ga želite najeti. Namesto da bi šel v to težavo, je CyberBunkerjev napad izkoristil sistem DNS, ki je nujno potreben sestavni del današnjega interneta.
CyberBunker je našel več deset tisoč strežnikov DNS, ki so bili občutljivi za ponarejanje naslovov IP - to je pošiljanje spletne zahteve in ponarejanje povratnega naslova. Majhna poizvedba napadalca je bila odziv stokrat večja in vsi ti veliki odzivi so zadeli strežnike žrtve. Če razširite primer Gibsona, je, kot da bi vsak izmed napadalčevih telefonskih klicev vašo številko preusmeril v besne telemarketarje.
Kaj je mogoče storiti?
Ali ne bi bilo lepo, če bi si kdo izmislil tehnologijo za preprečevanje takšnih napadov? Po pravici povedano že imajo, pred trinajstimi leti. Maja 2000 je delovna skupina Internet Engineering objavila dokument najboljše tekoče prakse, znan kot BCP38. BCP38 definira težavo in opisuje "preprosto, učinkovito in enostavno metodo… za prepoved napadov DoS, ki uporabljajo ponarejene naslove IP."
"80 odstotkov internetnih ponudnikov je priporočila že uveljavilo v BCP38, " je opozoril Gibson. "Preostalih 20 odstotkov je še vedno odgovornih za to, da dovoljujejo spofitiran promet." Poenostavljeno povedano, je Gibson dejal: "Zamislite si, če 20 odstotkov voznikov na cesti ne bi upoštevalo prometnih signalov - ne bi bilo več varno voziti."
Zakleni
Tu opisane varnostne težave se dogajajo na ravni ravni, nad domačim ali poslovnim računalnikom. Niste vi tisti, ki lahko ali bi morali implementirati rešitev; to je delo za IT oddelek. Pomembno je, da morajo fantje pravilno upravljati razlikovanje med dvema različnima strežnikoma DNS. Corey Nachreiner, CISSP in direktor varnostne strategije za omrežno varnostno podjetje WatchGuard, je pojasnil.
"Verodostojen strežnik DNS je tisti, ki preostalem svetu pove o domeni vašega podjetja ali organizacije, " je dejal Nachreiner. "Vaš avtoritativni strežnik bi moral biti na voljo vsem v internetu, vendar bi se moral odzvati le na poizvedbe o domeni vašega podjetja." Poleg navzven usmerjenega DNS strežnika podjetja potrebujejo recursive DNS strežnik, usmerjen navznoter. "Rekurzivni strežnik DNS je namenjen za iskanje domen vsem vašim zaposlenim, " je pojasnil Nachreiner. "Moral bi biti sposoben odgovarjati na poizvedbe o vseh spletnih mestih na internetu, odgovoriti pa bi moral le na ljudi v vaši organizaciji."
Težava je v tem, da številni rekurzivni strežniki DNS pravilno ne omejujejo odgovorov na notranje omrežje. Za izvedbo napada refleksije DNS morajo negativci najti kup tistih napačno nastavljenih strežnikov. "Medtem ko podjetja za svoje zaposlene potrebujejo rekurzivne strežnike DNS, " zaključi Nachreiner, "teh strežnikov NE smejo odpirati za zahteve nikogar v internetu."
Rob Kraus, direktor raziskav pri Inženirski raziskovalni ekipi Solutionary (SERT), je poudaril, da "če veste, kako resnično izgleda vaša arhitektura DNS od znotraj in od zunaj, lahko pomagate prepoznati vrzeli v uporabi DNS v vaših organizacijah". Svetoval je, naj se zagotovi, da so vsi DNS strežniki v celoti zakrpani in zavarovani. Da bi se prepričal, ali ste naredili pravilno, Kraus predlaga, da "uporaba etičnih vaj za hekanje pomaga razkriti napačne konfiguracije."
Da, obstajajo tudi drugi načini zagon napadov DDoS, vendar je odraz DNS še posebej učinkovit zaradi učinka ojačanja, kjer majhna količina prometa od napadalca ustvari ogromno količino, ki gre v žrtev. Zaustavitev tega posebnega drevoreda bo vsaj kibernetskim kriminalcem prisilila, da bodo izumili novo vrsto napada. Takšen napredek.