Video: PCH's Bill Woodcock explains the DDOS attack on Spamhaus (Decembris 2024)
Lai kāda būtu ietekme uz internetu kopumā, neviens nenoliedz, ka šis uzbrukums ar maksimālo ātrumu 300 Gbps bija lielākais DDoS uzbrukums, kāds jebkad reģistrēts. Bet kas ir DDoS uzbrukums, un kādas aizsardzības iespējas ir pieejamas?
Kā darbojās uzbrukums
Pakalpojuma atteikuma uzbrukums vienkārši pārslogo upura serverus, pārpludinot tos ar datiem, kas ir vairāk datu nekā serveri var apstrādāt. Tas var izjaukt upura uzņēmējdarbību vai pieklauvēt tā vietnei bezsaistē. Šāda uzbrukuma palaišana no vienas tīmekļa vietas nav efektīva, jo upuris var ātri bloķēt šo trafiku. Uzbrucēji bieži sāk izplatītu pakalpojumu atteikšanas uzbrukumu, izmantojot tūkstošiem nelaimīgu datoru, kurus kontrolē robottīkls.
Deivids Gibsons, globālās datu aizsardzības kompānijas Varonis stratēģijas viceprezidents, procesu skaidroja vienkārši. "Iedomājieties, ka kāds uzbrucējs var sabojāt jūsu tālruņa numuru, lai jūsu numurs tiktu parādīts citu cilvēku tālruņos, kad uzbrucējs zvana, " viņš sacīja. "Tagad iedomājieties, ka uzbrucējs piezvana bariņam cilvēku un sarunājas, pirms viņi atbild. Jūs, iespējams, saņemsit daudz zvanu no šiem cilvēkiem. Tagad iedomājieties, ka tūkstošiem uzbrucēju to dara - jums noteikti vajadzētu nomainīt tālruni. Ja pietiek zvanu, tiek traucēta visa tālruņu sistēma."
Botnet iestatīšana vai nauda tā īrēšanai prasa laiku un pūles. Tā vietā, lai dotos uz šīm nepatikšanām, CyberBunker uzbrukumā tika izmantota DNS sistēma, kas ir absolūti būtiska mūsdienu interneta sastāvdaļa.
CyberBunker atrada desmitiem tūkstošu DNS serveru, kas bija jutīgi pret IP adreses viltošanu, tas ir, Web pieprasījuma nosūtīšanu un atgriešanās adreses faking. Neliels uzbrucēja pieprasījums izraisīja simtiem reižu lielāku atbildi, un visas šīs lielās atbildes skāra upura serverus. Paplašinot Gibsona piemēru, šķiet, ka katrs uzbrucēja tālruņa zvans pārsūtīja jūsu numuru uz trakotiem telemārketniekiem.
Ko var izdarīt?
Vai nebūtu jauki, ja kāds izgudrotu tehnoloģijas šādu uzbrukumu novēršanai? Patiesībā viņiem tas jau ir pirms trīspadsmit gadiem. Interneta inženierijas darba grupa 2000. gada maijā izdeva Labākās pašreizējās prakses dokumentu, kas pazīstams kā BCP38. BCP38 definē problēmu un apraksta "vienkāršu, efektīvu un saprotamu metodi…, lai aizliegtu DoS uzbrukumus, kas izmanto viltotas IP adreses".
"80 procenti interneta pakalpojumu sniedzēju jau ir ieviesuši ieteikumus BCP38, " atzīmēja Gibsons. "Atlikušie 20 procenti paliek atbildīgi par krāpnieciskas satiksmes atļaušanu." Īsumā izsakot problēmu, Gibsons sacīja: "Iedomājieties, ja 20 procenti autovadītāju, kas brauc uz ceļa, nepakļaujas satiksmes signāliem - braukt vairs nebūtu droši."
Nofiksējiet to uz leju
Šeit aprakstītās drošības problēmas rodas līmenī, virs jūsu mājas vai uzņēmuma datora. Jūs neesat tas, kurš var vai vajadzētu ieviest risinājumu; tas ir darbs IT nodaļā. Svarīgi ir tas, ka IT puišiem ir pareizi jāpārvalda atšķirība starp diviem dažādiem DNS serveru veidiem. Corey Nachreiner, CISSP un tīkla drošības uzņēmuma WatchGuard drošības stratēģijas direktors, paskaidroja.
"Autoritatīvs DNS serveris ir tāds, kas pārējai pasaulei paziņo par jūsu uzņēmuma vai organizācijas domēnu, " sacīja Nachreiners. "Jūsu autoritatīvajam serverim vajadzētu būt pieejamam ikvienam internetā, tomēr tam vajadzētu atbildēt tikai uz jautājumiem par jūsu uzņēmuma domēnu." Papildus uz āru vērstam autoritatīvam DNS serverim uzņēmumiem ir nepieciešams arī uz iekšu vērsts rekursīvs DNS serveris. "Rekursīvs DNS serveris ir paredzēts domēna meklēšanai visiem jūsu darbiniekiem, " skaidroja Nachreiners. "Tai jāspēj atbildēt uz jautājumiem par visām vietnēm internetā, bet tai vajadzētu atbildēt tikai cilvēkiem jūsu organizācijā."
Problēma ir tā, ka daudzi rekursīvi DNS serveri pareizi neierobežo atbildes uz iekšējo tīklu. Lai veiktu DNS refleksijas uzbrukumu, sliktajiem puišiem vienkārši jāatrod virkne nepareizi konfigurētu serveru. "Kamēr uzņēmumiem darbiniekiem ir nepieciešami rekursīvi DNS serveri, " secināja Nachreiner, "viņi NEDRĪKST atvērt šos serverus pieprasījumiem no jebkura interneta."
Robis Krauss, Solutionary inženierzinātņu izpētes grupas (SERT) pētījumu direktors, uzsvēra, ka "zinot, kāda patiesībā izskatās jūsu DNS arhitektūra gan no iekšpuses, gan no ārpuses, var palīdzēt identificēt nepilnības jūsu organizācijas DNS izvietošanā". Viņš ieteica pārliecināties, ka visi DNS serveri ir pilnībā izlaboti un nodrošināti specifikācijai. Lai pārliecinātos, ka esat izdarījis pareizi, Krauss iesaka "ētiskas uzlaušanas vingrinājumu izmantošana palīdz atklāt nepareizas konfigurācijas".
Jā, ir arī citi veidi, kā uzsākt DDoS uzbrukumus, taču DNS atspoguļojums ir īpaši efektīvs pastiprināšanas efekta dēļ, kur neliels trafika daudzums no uzbrucēja rada milzīgu daudzumu upurim. Šīs konkrētās avēnijas slēgšana vismaz piespiedīs kibernoziedzniekus izgudrot jauna veida uzbrukumus. Tas ir progress, sava veida.
