Video: Black Hat USA 2013 - Lessons from Surviving a 300Gbps Denial of Service Attack (September 2024)
Den senaste våren blev spam-vakthund Spamhaus träffad med ett distribuerat förnekelse av sevice (DDoS) attack som tog deras servrar offline och orsakade tillfälliga regionala störningar på Internet. CloudFlare, ett webbprestations- och säkerhetsföretag, hjälpte Spamhaus att återhämta sig. Vid Black Hat-konferensen i Las Vegas rapporterade Matthew Prince, medgrundare och VD för CloudFlare, om vad som lärt sig.
"Det snygga med Spamhaus är att de är en riktigt öppen organisation, " sade Prince. "De flesta av våra kunder tycker inte om att vi pratar om attacker, men Spamhaus-killarna sa hej, berätta historien."
Prince granskade stadierna i attacken, som genomgick några dagar av låg nivå DDoS som inte orsakade problem, men till slut gick upp till en hittills aldrig tidigare skådad 309 Gbps (gigabit per sekund). Medan media rapporterade att attacken kom från en bunker i Nederländerna, påpekade Prince att detta inte var den verkliga huvudminden. "Hej, han pratade med New York Times!" sade Prince. Det visar sig att hjärnorna bakom attacken tillhörde en 15-årig pojke i London, nu i förvar.
Vilka resurser behövde det här barnet? "Du behöver inte ett botnet, " sa Prince, "och du behöver inte många människor, som Anonym." Han fortsatte med att säga att attacken inte behövde mycket teknisk expertis. "Det är som en grottman som slår ditt nätverk." Han fortsatte med att visa en mycket enkel linje med nätverksinstruktioner som skulle visa vilken typ av attack som användes.
Allt du behöver för den här typen av attack är en lista med öppna DNS-upplösare och åtkomst till vissa servrar som tillåter IP-spoofing från källor. "Det är ingredienserna, " sade Prince. "Om du har dessa två saker, till och med ett litet antal, kan du starta stora attacker. Och ingenting har förändrats sedan Spamhaus-attacken."
Prince uppmanade deltagare att städa upp sina egna nätverk och se till att de inte är en del av problemet. "Kontrollera ditt eget IP-utrymme på OpenResolver.com, " sade Prince, "och fixa eventuella felkonfigurerade enheter. Du kanske blir förvånad över att upptäcka att du har problem." "En enkel flagga i dina kantrutrar kommer att förhindra IP-förfalskning, " fortsatte han. "Det finns ingen ursäkt för att inte göra det här." Han avslutade med ett antal mer tekniska rekommendationer för nätverkshygien.
Tyvärr tar inte Internet som helhet detta råd. Sedan Spamhaus-attacken har antalet kända öppna DNS-upplösare vuxit från 21 miljoner till 28 miljoner. Prince påpekade en mycket enkel förändring som kunde ha gjort att trafiken i Spamhaus-attacken multiplicerades med tio, eller till och med 100. Vi hoppas att de goda killarna kan hålla sig före spelet.
Följ SecurityWatch för mer Black Hat 2013-täckning.
