Видео: DDoS - атака | Я УБЬЮ ТВОЮ СЕТЬ (Ноябрь 2024)
Каким бы ни было влияние на Интернет в целом, никто не отрицает, что эта атака, достигающая скорости 300 Гбит / с, была самой крупной из когда-либо зарегистрированных DDoS-атак. Но что такое DDoS-атака и какие средства защиты доступны?
Как работает атака
Атака отказа в обслуживании просто перегружает серверы жертвы, заполняя их данными, больше данных, чем серверы могут обработать. Это может нарушить работу жертвы или отключить ее веб-сайт. Запуск такой атаки из одного веб-узла неэффективен, поскольку жертва может быстро заблокировать этот трафик. Злоумышленники часто запускают атаку распределенного отказа в обслуживании через тысячи незадачливых компьютеров, управляемых ботнетом.
Дэвид Гибсон, вице-президент по стратегии глобальной компании по защите данных Varonis, объяснил этот процесс простыми словами. «Представьте, что злоумышленник может подделать ваш номер телефона, чтобы ваш номер отображался на телефонах других людей при звонке злоумышленника», - сказал он. «Теперь представьте, что злоумышленник звонит группе людей и кладет трубку, прежде чем они ответят. Вы, вероятно, получите кучу звонков от этих людей… А теперь представьте, что тысячи злоумышленников делают это - вам, безусловно, придется сменить телефон. номер. При достаточном количестве звонков вся телефонная система будет повреждена ".
Требуется время и усилия, чтобы создать ботнет, или деньги, чтобы его арендовать. Вместо того, чтобы пойти на эту проблему, атака CyberBunker воспользовалась системой DNS, абсолютно необходимой составляющей современного Интернета.
CyberBunker обнаружил десятки тысяч DNS-серверов, которые были уязвимы для подмены IP-адресов, то есть отправляли веб-запрос и подделывали обратный адрес. Небольшой запрос от злоумышленника привел к ответу в сотни раз большему, и все эти большие ответы попали на серверы жертвы. Продолжая пример Гибсона, каждый телефонный звонок злоумышленника передает ваш номер бешеным телемаркетерам.
Что можно сделать?
Разве не было бы хорошо, если бы кто-то изобрел технологию, чтобы предотвратить такие атаки? По правде говоря, они уже тринадцать лет назад. В мае 2000 года Целевая группа по инженерным проблемам интернета выпустила документ «Лучшие современные практики», известный как BCP38. BCP38 определяет проблему и описывает «простой, эффективный и простой метод… для запрета DoS-атак, использующих поддельные IP-адреса».
«80 процентов интернет-провайдеров уже внедрили рекомендации в BCP38», - отметил Гибсон. «Оставшиеся 20 процентов остаются ответственными за пропуск поддельного трафика». Говоря простым языком, Гибсон сказал: «Представьте, что если 20 процентов водителей на дороге не будут подчиняться сигналам светофора, управлять им будет уже не безопасно».
Заблокировать его
Проблемы безопасности, описанные здесь, возникают на уровне, намного выше вашего домашнего или рабочего компьютера. Вы не тот, кто может или должен реализовать решение; это работа для ИТ-отдела. Важно отметить, что ИТ-специалисты должны правильно управлять различием между двумя различными типами DNS-серверов. Об этом рассказал Кори Нахрейнер, CISSP и директор по стратегии безопасности для компании сетевой безопасности WatchGuard.
«Авторитетный DNS-сервер - это тот, который сообщает остальному миру о домене вашей компании или организации», - сказал Нахрейнер. «Ваш авторитетный сервер должен быть доступен любому в Интернете, однако он должен отвечать только на запросы о домене вашей компании». В дополнение к внешнему авторитетному DNS-серверу компаниям необходим рекурсивный DNS-сервер, обращенный внутрь. «Рекурсивный DNS-сервер предназначен для обеспечения поиска доменов для всех ваших сотрудников», - пояснил Нахрейнер. «Он должен иметь возможность отвечать на запросы обо всех сайтах в Интернете, но он должен отвечать только людям в вашей организации».
Проблема в том, что многие рекурсивные DNS-серверы неправильно ограничивают ответы во внутренней сети. Чтобы выполнить атаку с помощью DNS-отражения, злоумышленникам просто нужно найти несколько неправильно настроенных серверов. «В то время как предприятиям нужны рекурсивные DNS-серверы для своих сотрудников, - заключил Нахрейнер, - они НЕ ДОЛЖНЫ открывать эти серверы для запросов от кого-либо в Интернете».
Роб Краус, директор по исследованиям в группе инженерных исследований Solutionary (SERT), отметил, что «знание того, как на самом деле выглядит ваша архитектура DNS как изнутри, так и снаружи, может помочь выявить пробелы в развертывании DNS вашей организации». Он посоветовал убедиться, что все DNS-серверы полностью исправлены и защищены по спецификации. Чтобы убедиться, что вы все сделали правильно, Краус предлагает «использование этических хакерских упражнений поможет выявить неправильные конфигурации».
Да, есть и другие способы запуска DDoS-атак, но DNS-отражение особенно эффективно из-за эффекта усиления, когда небольшой объем трафика от злоумышленника генерирует огромное количество попадания в жертву. Закрытие этой конкретной улицы, по крайней мере, заставит киберпреступников изобрести новый вид атаки. Это прогресс, своего рода.