Коли служби безпеки йдуть погано

Зобразіть це. Група старшокласників вирішує розіграти школу, зателефонувавши в кабінет і повісивши, знову і знову. Зв'язок школи припиняється; насправді ніхто не може пройти до довірителя. Це дуже схоже на те, що відбувається при атаці розподіленого відмови в службі. Зловмисники зараховують армію ботів, щоб забити сервери цілі трафіком, поки сервер більше не може його зайняти. Incapsula, служба захисту DDoS, повідомляє про величезну атаку DDoS з цікавим поворотом; атакуючі пакети надходили від двох інших компаній із захисту DDoS.

Повідомлення в блозі Ігала Зейфмана Інкапсули не визначає компаній, заявляючи, що вони "одні базуються в Канаді, інші - в Китаї". Обидві компанії визнали відповідальність і "скинули відповідальних сторін зі своїх служб". Але як це могло статися в першу чергу?

Повені проти посилення

Минулорічна атака SpamHaus DDoS використовувала методику під назвою посилення DNS. Зловмисник надсилає невеликий запит DNS, який повертає величезну відповідь, і підробляє пакет запитів, щоб відповідь надходила до жертви. Це дозволяє невеликій кількості серверів зняти величезну DDoS-атаку.

Однак, повідомлення інкапсули вказує, що надзвичайно просто загартувати мережу проти подібного нападу. Все, що вам потрібно зробити, це визначити правило, яке відхиляє будь-який пакет даних DNS, який сервер не запитував.

Атака, про яку йдеться, не використовувала жодного посилення. Він просто затопив сервери жертв нормальними запитами DNS зі швидкістю 1, 5 мільярда на хвилину. Ці запити не відрізняються від дійсного трафіку, тому сервер повинен перевірити кожен. Цей тип атаки перевантажує центральний процесор і пам'ять, в той час як атака посилення перевантажує пропускну здатність, згідно з повідомленням.

Як це відбулося?

Зейфман зазначає, що служба захисту DDoS має саме ту інфраструктуру, яку потрібно було б влаштувати DDoS-атаку. "Це в поєднанні з тим, що багато постачальників більше стурбовані" тим, що надходить "на відміну від" того, що виходить ", робить їх гарним пристосуванням для хакерів, які бажають здійснити масштабні не посилені DDoS-атаки", - зазначив Зейфман. "Окрім надання" поетичного повороту "перетворення протекторів на агресорів, такі мега-паводки також є надзвичайно небезпечними".

Це правда, що для нападу на цьому рівні потрібні ресурси, які типова банда кіберзлочинів, ймовірно, не змогла зібрати. Навіть найбільший ботнет не дозволив їм досягти 1, 5 мільярда запитів за хвилину. За словами Зейфмана, рішення - це для компаній, які мають ці ресурси, щоб їх краще захистити. "Будь-які постачальники послуг, які пропонують розбірливий доступ до потужних серверів, допомагають правопорушникам перерости ці обмеження", - сказав Зейфман. "У цьому випадку продавці безпеки зіграли прямо в руки хакерів".

Ви можете прочитати повний пост на веб-сайті Incapsula. І ей, якщо вам трапляється один з тих небагатьох людей, який керує видом потужних серверів, необхідних для такого типу атак, можливо, вам слід уважно вивчити свою безпеку - дуже уважно.