Video: Security Insights: How to secure your home office (Oktober 2024)
Predstavljaj si to. Skupina srednješolcev se odloči, da bo šolo potegala tako, da je poklicala v pisarno in prekinila, znova in znova. Komunikacije šole se ustavijo; nihče se dejansko ne more prebiti do glavnice. To je podobno, kot se zgodi v napadu distribuirane zavrnitve storitve. Zlonamerniki najamejo vojsko botov, s katerimi bodo strežniki tarče premetali promet, dokler strežnik ne bo mogel več. Incapsula, zaščitna služba DDoS, poroča o velikem napadu DDoS z zanimivim zasukom; napadalni paketi so prišli iz dveh drugih družb za zaščito DDoS.
Objava v spletnem dnevniku Igala Zeifmana iz Incapsule ne identificira podjetij, saj pravi, da so "eno s sedežem v Kanadi, drugo na Kitajskem." Obe podjetji sta priznali odgovornost in "spuščali odgovorne strani iz svojih služb". Toda kako bi se to sploh lahko zgodilo?
Poplava proti ojačitvi
Lanskoletni napad SpamHaus DDoS je uporabil tehniko, imenovano DNS-ojačitev. Napadalec pošlje majhno zahtevo DNS, ki vrne ogromen odziv, in odkrije paket paketov, tako da odgovor pošlje žrtvi. To omogoča majhnemu številu strežnikov, da izvlečejo ogromen napad DDoS.
Vendar objava Incapsula poudarja, da je izredno enostavno utrjevati mrežo pred tovrstnimi napadi. Vse, kar morate storiti, je določiti pravilo, ki zavrača vse pakete podatkov DNS, ki jih strežnik ni zahteval.
Zadevni napad ni uporabil nobene vrste okrepitve. Preprosto je poplavil strežnike žrtev z običajnimi zahtevami DNS, s hitrostjo 1, 5 milijarde na minuto. Te zahteve se ne razlikujejo od veljavnega prometa, zato jih mora strežnik preučiti. Ta vrsta napada preobremeni strežnikov CPU in pomnilnik, medtem ko napad ojačanja preobremeni pasovno širino, glede na objavo.
Kako se je to zgodilo?
Zeifman poudarja, da ima zaščitna storitev DDoS ravno infrastrukturo, ki bi jo potrebovali za namestitev DDoS napada. "To je v kombinaciji z dejstvom, da se številni prodajalci bolj ukvarjajo s tem, " kaj prihaja ", namesto" s tem, kar se dogaja ", zato je dobro za hekerje, ki želijo izvesti množične neoskrbljene napade DDoS, " je opozoril Zeifman. "Poleg zagotavljanja" poetičnega zasuka "spreminjanja zaščitnikov v agresorje so takšne mega poplave tudi izjemno nevarne."
Res je, da napad na tej ravni zahteva sredstva, ki jih tipična tolpa za kibernetske kriminalce verjetno ne bi mogla zbrati. Tudi največji botnet jim ne bi dovolil, da bi dosegli 1, 5 milijarde zahtevkov na minuto. Rešitev je po besedah Zeifmana za podjetja, ki imajo ta sredstva, da jih bolje zaščitijo. "Vsi ponudniki storitev, ki ponujajo neselektivni dostop do visoko zmogljivih strežnikov, pomagajo kršiteljem, da te omejitve presežejo, " je dejal Zeifman. "V tem primeru so varnostniki prodali hekerjem v roke."
Celotno objavo si lahko preberete na spletni strani Incapsula. In če se zgodi, da ste eden redkih ljudi, ki upravlja z visoko zmogljivimi strežniki, potrebnimi za tovrstne napade, bi morali svojo varnost zelo natančno preučiti.
