Відео: PCH's Bill Woodcock explains the DDOS attack on Spamhaus (Листопад 2024)
Який би не був ефект в Інтернеті в цілому, ніхто не заперечує, що ця атака, що досягла максимальної швидкості 300 Гбіт / с, була найбільшою DDoS-атакою, яка коли-небудь зафіксована. Але що таке DDoS-атака та які захисні засоби є?
Як діяла атака
Атака відмови у службі просто перевантажує сервери жертви, заповнюючи їх даними, більше даних, ніж сервери можуть обробляти. Це може порушити бізнес жертви або збити його веб-сайт в автономному режимі. Запуск такої атаки з одного веб-місцезнаходження малоефективний, оскільки жертва може швидко заблокувати цей трафік. Зловмисники часто запускають атаку з розподіленим відмовою в службі через тисячі невдалих комп'ютерів, керованих ботнетом.
Девід Гібсон, віце-президент стратегії глобальної компанії з захисту даних Varonis, пояснив процес простими словами. "Уявіть, що зловмисник може сфабрикувати ваш номер телефону, щоб ваш номер відображався на телефонах інших людей, коли зловмисник дзвонить", - сказав він. "Тепер уявіть, що зловмисник дзвонить купу людей і зависає, перш ніж вони відповідатимуть. Ви, мабуть, отримаєте купу дзвінків від тих людей … Тепер уявіть, що тисячі зловмисників роблять це - вам неодмінно доведеться змінити телефон номер. При достатній кількості дзвінків вся система телефону буде порушена ".
Щоб створити ботнет або гроші, щоб орендувати його, потрібен час і сили. Замість того, щоб піти на цю проблему, атака CyberBunker скористалася системою DNS, абсолютно необхідною складовою сьогоднішнього Інтернету.
CyberBunker розмістив десятки тисяч серверів DNS, вразливих до підробки IP-адрес, тобто надсилання веб-запиту та підробленої адреси повернення. Невеликий запит зловмисника дав відповідь у сотні разів більше, і всі ці великі відповіді потрапили на сервери жертви. Розширюючи приклад Гібсона, це так, ніби кожен з телефонних дзвінків зловмисника перетворив ваш номер на скажені телемаркети.
Що можна зробити?
Не було б непогано, якби хтось придумав технологію, щоб збити такі напади? По правді, вони вже є, тринадцять років тому. У травні 2000 року спеціальна група Internet Engineering випустила документ «Найкращі поточні практики», відомий як BCP38. BCP38 визначає проблему та описує "простий, ефективний та простий метод … заборонити DoS-атаки, які використовують підроблені IP-адреси".
"80 відсотків Інтернет-провайдерів вже реалізували рекомендації в BCP38", - зазначив Гібсон. "Решта 20 відсотків залишаються відповідальними за те, що дозволяють підробляти трафік". Простіше кажучи, Гібсон сказав: "Уявіть, якби 20 відсотків водіїв на дорозі не виконували сигнали дорожнього руху - їхати більше не було б".
Зафіксуйте його
Описані тут проблеми із безпекою трапляються на рівні, вище над домашнім або бізнес-комп’ютером. Ви не той, хто може чи повинен реалізувати рішення; це робота для відділу ІТ. Важливо, що ІТ-хлопці повинні правильно керувати різницею між двома різними типами DNS-серверів. Роз'яснив Corey Nachreiner, CISSP та директор стратегії безпеки для компанії мережевої безпеки WatchGuard.
"Авторитетний DNS-сервер - це той, хто повідомляє решті світу про домен вашої компанії чи організації", - сказав Nachreiner. "Ваш авторитетний сервер повинен бути доступний для всіх в Інтернеті, однак він повинен відповідати лише на запити щодо домену вашої компанії." Крім авторитетного DNS-сервера, орієнтованого назовні, компаніям потрібен рекурсивний DNS-сервер, спрямований всередину. "Рекурсивний DNS-сервер призначений для забезпечення пошуку доменів для всіх ваших співробітників", - пояснив Nachreiner. "Він повинен мати можливість відповідати на запити про всі сайти в Інтернеті, але він повинен відповідати лише людям у вашій організації."
Проблема полягає в тому, що багато рекурсивні DNS-сервери неправильно обмежують відповіді на внутрішню мережу. Щоб здійснити атаку відбиття DNS, поганим хлопцям просто потрібно знайти купу тих неправильно налаштованих серверів. "У той час як підприємствам потрібні рекурсивні DNS-сервери для своїх співробітників, - підсумував Нахрейнер, - вони НЕ повинні відкривати ці сервери для запитів від будь-кого в Інтернеті".
Роб Краус, директор відділу досліджень в Інженерно-дослідницькій команді Solutionary (SERT), зазначив, що "знання того, як ваша архітектура DNS справді виглядає як зсередини, так і ззовні, може допомогти виявити прогалини у розгортанні DNS ваших організацій". Він радив гарантувати, що всі DNS-сервери будуть повністю зафіксовані та захищені до специфікацій. Щоб переконатися, що ви зробили це правильно, Краус пропонує "використання етичних вправ на хакінг допоможе розкрити неправильні конфігурації".
Так, є й інші способи запустити DDoS-атаки, але відображення DNS особливо ефективне через ефект посилення, де невелика кількість трафіку від зловмисника генерує величезну кількість надходження в жертву. Закриття цього проспекту принаймні змусить кіберзлочинців винайти новий вид нападу. Це такий собі прогрес.