Video: Реклама подобрана на основе следующей информации: (September 2024)
Oavsett vilken effekt som helst på Internet totalt sett förnekar ingen att denna attack, som nådde en höjdpunkt på 300 Gbps, var den största DDoS-attacken som någonsin registrerats. Men precis vad är en DDoS-attack och vilka försvar finns tillgängliga?
Hur attacken fungerade
En Denial of Service-attack överbelaster helt enkelt offrets servrar genom att översvämma dem med data, mer data än servrarna kan hantera. Detta kan störa offrets verksamhet eller slå sin webbplats offline. Att starta en sådan attack från en enda webbplats är ineffektiv, eftersom offret snabbt kan blockera den trafiken. Angripare startar ofta en Distribuerad avslag på tjänsten via tusentals olyckliga datorer som kontrolleras av ett botnet.
David Gibson, VD för strategi för det globala dataskyddsföretaget Varonis, förklarade processen i enkla termer. "Tänk dig att någon angripare kan förfalska ditt telefonnummer så att ditt nummer dyker upp på andras telefoner när angriparen ringer, " sade han. "Tänk dig att angriparen ringer ett gäng människor och lägger på sig innan de svarar. Du kommer antagligen att få ett gäng samtal tillbaka från dessa människor… Föreställ dig nu tusentals angripare som gör detta - du skulle säkert behöva byta telefon antal. Med tillräckligt med samtal skulle hela telefonsystemet försämras."
Det tar tid och ansträngning att skapa ett botnet eller pengar att hyra ett. I stället för att gå till det problemet utnyttjade CyberBunker attack DNS-systemet, en absolut nödvändig komponent i dagens Internet.
CyberBunker lokaliserade tiotusentals DNS-servrar som var sårbara för falsk IP-adress - det vill säga skicka en webbbegäran och förfalska returadressen. En liten fråga från angriparen resulterade i ett svar hundratals gånger så stort, och alla dessa stora svar träffade offrets servrar. Genom att utvidga Gibsons exempel är det som om var och en av angriparens telefonsamtal förvandlade ditt nummer till rabiat telemarketers.
Vad kan göras?
Skulle det inte vara trevligt om någon skulle uppfinna teknik för att folja sådana attacker? I själva verket har de redan för tretton år sedan. I maj 2000 släppte Internet Engineering Task Force papper om bästa aktuella metoder som kallas BCP38. BCP38 definierar problemet och beskriver "en enkel, effektiv och enkel metod… för att förbjuda DoS-attacker som använder förfalskade IP-adresser."
"80 procent av internetleverantörerna har redan implementerat rekommendationerna i BCP38, " konstaterade Gibson. "Det är de återstående 20 procenten som förblir ansvariga för att tillåta förfalskad trafik." Gibson sade problemet enkelt och sa: "Tänk om 20 procent av förarna på vägen inte följde trafiksignaler - det skulle inte längre vara säkert att köra."
Lås ner det
De säkerhetsproblem som beskrivs här inträffar på ett jämnt sätt, långt ovanför din hem- eller affärsdator. Du är inte den som kan eller bör implementera en lösning; det är ett jobb för IT-avdelningen. Det är viktigt att IT-killarna måste hantera skillnaden mellan två olika sorters DNS-servrar korrekt. Corey Nachreiner, CISSP och chef för säkerhetsstrategi för nätverkssäkerhetsföretaget WatchGuard, förklarade.
"En auktoritativ DNS-server är en som berättar resten av världen om ditt företags eller organisations domän, " sa Nachreiner. "Din auktoritativa server bör vara tillgänglig för alla på Internet, men den bör bara svara på frågor om ditt företags domän." Förutom den utåtriktade auktoritativa DNS-servern, behöver företag en inåtvänd rekursiv DNS-server. "En rekursiv DNS-server är avsedd att leverera domänuppslag till alla dina anställda, " förklarade Nachreiner. "Det borde kunna svara på frågor om alla webbplatser på Internet, men det ska bara svara på personer i din organisation."
Problemet är att många rekursiva DNS-servrar inte korrekt begränsar svar på det interna nätverket. För att genomföra en DNS-reflektionsattack måste de onda bara hitta ett gäng av de felaktigt konfigurerade servrarna. "Medan företag behöver rekursiva DNS-servrar för sina anställda, " avslutade Nachreiner, "borde de INTE öppna dessa servrar för förfrågningar från någon på Internet."
Rob Kraus, forskningsdirektör vid Solutionary's Engineering Research Team (SERT), påpekade att "att veta hur din DNS-arkitektur verkligen ser ut från insidan och utsidan kan hjälpa till att identifiera luckor i din organisations DNS-distribution." Han rekommenderade att alla DNS-servrar är fullständigt lappade och säkrade till specifikationer. För att säkerställa att du har gjort det rätt föreslår Kraus att "använda etiska hackingövningar hjälper till att upptäcka felkonfigurationer."
Ja, det finns andra sätt att starta DDoS-attacker, men DNS-reflektion är särskilt effektiv på grund av förstärkningseffekten, där en liten mängd trafik från angriparen genererar en enorm mängd som går in i offret. Att stänga av just denna väg kommer åtminstone tvinga cyberbrottslingar att uppfinna en ny typ av attack. Det är ett slags framsteg.
