Video: Реклама подобрана на основе следующей информации: (Oktober 2024)
Uansett hvilken effekt det på internett totalt sett er, er det ingen som benekter at dette angrepet, som nådde en topp på 300 Gbps, var det største DDoS-angrepet som noen gang er registrert. Men hva er et DDoS-angrep, og hvilke forsvar er tilgjengelige?
Hvordan angrepet fungerte
Et Denial of Service-angrep overbelaster ganske enkelt offerets servere ved å oversvømme dem med data, mer data enn serverne kan håndtere. Dette kan forstyrre offerets virksomhet, eller slå nettstedet sitt offline. Å starte et slikt angrep fra et enkelt nettsted er ineffektivt, da offeret raskt kan blokkere trafikken. Angripere lanserer ofte et Distribuerte Denial of Service-angrep via tusenvis av uheldige datamaskiner kontrollert av et botnet.
David Gibson, administrerende direktør for strategi for det globale databeskyttelsesselskapet Varonis, forklarte prosessen på enkle vilkår. "Tenk deg at noen angriper kan forfalsket telefonnummeret ditt, slik at nummeret ditt vises på andres telefoner når angriperen ringer, " sa han. "Tenk deg at angriperen ringer en gjeng mennesker og legger på seg før de svarer. Du vil sannsynligvis få et knippe samtaler tilbake fra disse menneskene… Tenk deg nå tusenvis av angripere som gjør dette - du vil helt sikkert måtte bytte telefon antall. Med nok samtaler ville hele telefonsystemet være nedsatt."
Det tar tid og krefter å sette opp et botnet, eller penger å leie et. Heller enn å gå til den vanskeligheten, utnyttet CyberBunker-angrepet DNS-systemet, en helt essensiell komponent av dagens Internett.
CyberBunker fant titusenvis av DNS-servere som var sårbare for forfalskning av IP-adresser - det vil si sende en nettforespørsel og falske returadressen. Et lite spørsmål fra angriperen resulterte i et svar hundre ganger så stort, og alle de store svarene traff offerets servere. Ved å utvide Gibsons eksempel, er det som om hver av angriperens telefonsamtaler har overført nummeret ditt til heftige telefonselgere.
Hva kan bli gjort?
Ville det ikke være fint hvis noen ville finne opp teknologi for å folie slike angrep? I sannhet har de det allerede, for tretten år siden. I mai 2000 ga Internet Engineering Task Force ut den beste gjeldende praksis, kjent som BCP38. BCP38 definerer problemet og beskriver "en enkel, effektiv og grei metode… for å forby DoS-angrep som bruker forfalskede IP-adresser."
"80 prosent av internettleverandørene har allerede implementert anbefalingene i BCP38, " bemerket Gibson. "Det er de resterende 20 prosentene som fortsatt er ansvarlige for å tillate forfalsket trafikk." Gibson sa problemet enkelt sagt, og sa: "Tenk om 20 prosent av sjåførene på veien ikke adlyder trafikksignaler - det ville ikke lenger være trygt å kjøre."
Lås det ned
Sikkerhetsproblemene beskrevet her skjer på en plan måte, langt over hjemme- eller bedriftsdatamaskinen. Du er ikke den som kan eller bør implementere en løsning; det er en jobb for IT-avdelingen. Det er viktig at IT-gutta må håndtere skillet mellom to forskjellige typer DNS-servere på riktig måte. Corey Nachreiner, CISSP og direktør for sikkerhetsstrategi for nettverkssikkerhetsselskapet WatchGuard, forklarte.
"En autoritativ DNS-server er en som forteller resten av verden om firmaets eller organisasjonens domene, " sa Nachreiner. "Den autoritative serveren din skal være tilgjengelig for alle på Internett, men den skal bare svare på spørsmål om bedriftens domene." I tillegg til den utadrettede autoritative DNS-serveren, trenger selskaper en innvendig rekursiv DNS-server. "En rekursiv DNS-server er ment å levere domeneoppslag til alle dine ansatte, " forklarte Nachreiner. "Den skal kunne svare på spørsmål om alle nettsteder på Internett, men den skal bare svare til folk i organisasjonen din."
Problemet er at mange rekursive DNS-servere ikke begrenser svarene til det interne nettverket korrekt. For å oppnå et DNS-refleksjonsangrep, trenger skurkene bare å finne en haug med de feil konfigurerte serverne. "Mens bedrifter trenger rekursive DNS-servere for sine ansatte, " konkluderte Nachreiner, "bør de IKKE åpne disse serverne for forespørsler fra noen på Internett."
Rob Kraus, forskningsdirektør ved Solutionaries Engineering Research Team (SERT), påpekte at "å vite hvordan din DNS-arkitektur virkelig ser ut fra innsiden og utsiden, kan bidra til å identifisere hull i organisasjonenes DNS-distribusjon." Han anbefalte å sørge for at alle DNS-servere er fullstendig lappet og sikret til spesifikasjoner. For å sikre at du har gjort det riktig, foreslår Kraus "å bruke etiske hackingøvelser for å avdekke feilkonfigurasjoner."
Ja, det er andre måter å starte DDoS-angrep på, men DNS-refleksjon er spesielt effektiv på grunn av forsterkningseffekten, der en liten mengde trafikk fra angriperen genererer en enorm mengde som går inn i offeret. Å stenge denne spesielle avenyen vil i det minste tvinge nettkriminelle til å finne opp en ny type angrep. Det er en fremgang.
