Когда службы безопасности идут плохо

Представь это. Группа старшеклассников решает разыграть школу, позвонив в офис и повесив трубку снова и снова. Коммуникации школы прекращаются; никто не может на самом деле дозвониться до директора. Это очень похоже на то, что происходит при атаке распределенного отказа в обслуживании. Злоумышленники набирают армию ботов, чтобы забивать трафик на серверах цели, пока сервер не сможет больше этого делать. Incapsula, служба защиты от DDoS, сообщает об огромной атаке DDoS с интересным поворотом; атакующие пакеты пришли от двух других компаний по защите от DDoS.

В сообщении в блоге, написанном Ингапсулой Игалом Зейфманом, не указываются компании, в которых говорится, что они «базируются в Канаде, а другая в Китае». Обе компании признали ответственность и "сняли ответственных сторон с их услуг". Но как это могло произойти в первую очередь?

Наводнение против Усиления

В прошлом году в DDoS-атаке SpamHaus использовалась технология, называемая DNS-усилением. Злоумышленник отправляет небольшой DNS-запрос, который возвращает огромный ответ, и подделывает пакет запроса, чтобы ответ отправился жертве. Это позволяет небольшому количеству серверов проводить огромную DDoS-атаку.

Тем не менее, пост Incapsula указывает, что чрезвычайно легко защитить сеть от такого рода атак. Все, что вам нужно сделать, это определить правило, которое отклоняет любой пакет информации DNS, который сервер не запрашивал.

Рассматриваемая атака не использовала никакого усиления. Он просто наводнил серверы-жертвы обычными DNS-запросами со скоростью 1, 5 миллиарда в минуту. Эти запросы неотличимы от действительного трафика, поэтому сервер должен проверять каждый из них. Этот тип атаки перегружает процессор и память сервера, в то время как атака с усилением перегружает полосу пропускания, согласно сообщению.

Как это случилось?

Зейфман отмечает, что служба защиты от DDoS обладает именно той инфраструктурой, которая потребуется для проведения атаки DDoS. «Это в сочетании с тем фактом, что многие поставщики более озабочены« тем, что входит », а не« тем, что выходит », делает их подходящими для хакеров, желающих проводить массивные неусиленные DDoS-атаки», - отметил Зейфман. «Помимо обеспечения« поэтического поворота »превращения защитников в агрессоров, такие мегаполивы также чрезвычайно опасны».

Это правда, что атака на этом уровне требует ресурсов, которые типичная банда киберпреступности, вероятно, не смогла собрать. Даже самый большой ботнет не позволит им выполнить 1, 5 миллиарда запросов в минуту. Решение, по словам Зейфмана, предназначено для компаний, которые располагают этими ресурсами для лучшей защиты. «Любые поставщики услуг, которые предлагают неразборчивый доступ к мощным серверам, помогают нарушителям преодолеть эти ограничения», - сказал Зейфман. «В этом случае поставщики безопасности сыграли прямо на руку хакерам».

Вы можете прочитать полный пост на сайте Incapsula. И, эй, если вы оказались одним из тех немногих, кто управляет высокопроизводительными серверами, необходимыми для такого рода атак, возможно, вам следует тщательно проверить свою безопасность - очень тщательно.