Video: Black Hat USA 2013 - Lessons from Surviving a 300Gbps Denial of Service Attack (Oktober 2024)
Den siste våren ble spam-vakthund Spamhaus truffet med et distribuert fornektelse av sevice (DDoS) angrep som tok serverne deres offline og forårsaket midlertidige regionale forstyrrelser på Internett. CloudFlare, et nettprestasjons- og sikkerhetsselskap, hjalp Spamhaus å komme seg. På Black Hat-konferansen i Las Vegas rapporterte Matthew Prince, medgründer og administrerende direktør i CloudFlare, om akkurat det som ble lært.
"Det pene med Spamhaus er at de er en veldig åpen organisasjon, " sa Prince. "De fleste av kundene våre liker ikke at vi snakker om angrep, men Spamhaus-gutta sa hei, fortell historien."
Prince gjennomgikk angrepsstadiene, som gikk gjennom noen dager med lavt nivå DDoS som ikke forårsaket problemer, men til slutt gikk opp til en hittil enestående 309 Gbps (gigabits per sekund). Mens mediene rapporterte at angrepet kom fra en bunker i Nederland, påpekte Prince at dette ikke var den virkelige mestre. "Hei, han snakket med New York Times!" quipped Prince. Det viser seg at hjernen bak angrepet tilhørte en 15 år gammel London-gutt, nå varetektsfengslet.
Hvilke ressurser hadde denne ungen behov? "Du trenger ikke et botnett, " sa Prince, "og du trenger ikke mange mennesker, som Anonymous." Han fortsatte med å si at angrepet ikke trengte mye teknisk kompetanse. "Det er som en hulmann som slår nettverket ditt." Han fortsatte med å vise en veldig enkel linje med nettverksinstruksjoner som skulle demonstrere typen angrep som ble brukt.
Alt du trenger for denne typen angrep er en liste over åpne DNS-oppløsere og tilgang til noen servere som tillater IP-forfalskning av kilder. "Det er ingrediensene, " sa Prince. "Hvis du har disse to tingene, til og med et lite antall, kan du sette i gang store angrep. Og ingenting har endret seg siden Spamhaus-angrepet."
Prince formante deltakere om å rydde opp i sine egne nettverk, og sørget for at de ikke er en del av problemet. "Sjekk din egen IP-plass på OpenResolver.com, " sa Prince, "og fikse eventuelle feilkonfigurerte enheter. Du kan bli overrasket over å finne at du har et problem." "Et enkelt flagg i kantruterne dine vil forhindre forfalskning av IP, " fortsatte han. "Det er ingen unnskyldning for ikke å gjøre dette." Han avsluttet med en rekke mer tekniske anbefalinger for nettverkshygiene.
Akk, Internett som helhet tar ikke dette rådet. Siden Spamhaus-angrepet har antallet kjente åpne DNS-oppløsere vokst fra 21 millioner til 28 millioner. Prince påpekte en veldig enkel endring som kunne ha gjort multiplisert trafikken i Spamhaus-angrepet med ti, eller til og med 100. La oss håpe de gode gutta kan være i forkant av spillet.
Følg SecurityWatch for mer dekning av Black Hat 2013.
