Casa Vigilant de seguretat Comprensió de l'atac de spamhaus ddos

Comprensió de l'atac de spamhaus ddos

Vídeo: Lana Del Rey - Born To Die (Official Music Video) (De novembre 2024)

Vídeo: Lana Del Rey - Born To Die (Official Music Video) (De novembre 2024)
Anonim

La denegació distribuïda del servei és el tema del dia, a causa d'un recent atac massiu de DDoS de CyberBunker, host de web holandès, contra l'agència de lluita contra el correu brossa SpamHaus. Què tan significatiu va ser el dany col·lateral a la resta d’Internet? CloudFlare, una companyia de seguretat web implicada directament en la defensa de SpamHaus contra l’atac, la va comparar amb una bomba nuclear, però Keynote Systems, una companyia que rastreja la disponibilitat i el temps de resposta del lloc web, va dir que no era més que un maleter.

Independentment de l'efecte a Internet, ningú nega que aquest atac, amb un màxim de 300 Gbps, va ser l'atac més gran de DDoS mai registrat. Però, què és un atac DDoS i quines defenses hi ha disponibles?

Com funcionava l’atac

Un atac de denegació de serveis simplement sobrecarrega els servidors de la víctima inundant-los de dades, més dades de les que els servidors poden gestionar. Això pot interrompre el negoci de la víctima o anul·lar el lloc web fora de línia. Iniciar aquest atac des d'un lloc web únic no és eficaç, ja que la víctima pot bloquejar el trànsit ràpidament. Els atacants solen llançar un atac de denegació de serveis distribuïts a través de milers d’ordinadors impotents controlats per una botnet.

David Gibson, vicepresident d’Estratègia de l’empresa global de protecció de dades Varonis, va explicar el procés en termes senzills. "Imagineu que algun atacant pot fer malbé el vostre número de telèfon perquè el vostre número aparegui als telèfons d'altres persones quan l'atacant truca", va dir. "Imagineu-vos que l'atacant truca a un grup de persones i us penja abans de respondre. Probablement rebrà un munt de trucades per part de les persones… Ara imagineu-vos que milers d'atacants facin això; segur que haureu de canviar el telèfon. número. Amb prou trucada, tot el sistema telefònic es veuria deteriorat."

Es necessita temps i esforços per configurar una botnet o diners per llogar-ne un. En lloc de passar els problemes, l'atac de CyberBunker va aprofitar el sistema DNS, un component absolutament essencial de l'Internet actual.

CyberBunker va localitzar desenes de milers de servidors DNS que eren vulnerables a la difusió de les adreces IP, és a dir, l'enviament d'una sol·licitud web i la falsificació de l'adreça de retorn. Una petita consulta de l’agredit va donar lloc a una resposta centenars de vegades més gran i totes aquestes respostes importants van colpejar els servidors de la víctima. Ampliar l'exemple de Gibson, és com si cadascuna de les trucades telefòniques de l'atacant convertís el vostre número a telemarketers rabiosos.

Què es pot fer?

No seria bo que algú inventés tecnologia per combatre aquests atacs? De veritat, ja ho tenen, fa tretze anys. Al maig del 2000, l'Internet Engineering Task Force va publicar el paper Best Practices Current Practices conegut com a BCP38. BCP38 defineix el problema i descriu "un mètode senzill, eficaç i senzill… per prohibir els atacs de DoS que utilitzin adreces IP falsificades".

"El 80 per cent dels proveïdors d'Internet ja han implementat les recomanacions en BCP38", va assenyalar Gibson. "És el 20 per cent restant que segueix sent responsable de permetre el trànsit esporàdic". En dir-ho en termes senzills, Gibson va dir: "Imagineu-vos que si el 20 per cent dels conductors de la carretera no obeïen els senyals de trànsit; ja no seria segur de conduir".

Bloquejar-lo cap avall

Els problemes de seguretat descrits aquí es produeixen a un nivell igual, per sobre del vostre ordinador de casa o empresarial. No sou els que podeu implementar una solució; això és una feina per al departament d’informàtica. És important tenir en compte que els nois de TI han de gestionar correctament la distinció entre dos tipus diferents de servidors DNS. Ho expliquen Corey Nachreiner, CISSP i director d’estratègia de seguretat de l’empresa de seguretat de xarxa WatchGuard.

"Un servidor DNS autoritzat és aquell que informa a la resta del món sobre el domini de la vostra empresa o organització", va dir Nachreiner. "El vostre servidor autoritari hauria d'estar disponible per a qualsevol persona a Internet, però, només hauria de respondre a les consultes sobre el domini de la vostra empresa." A més del servidor DNS autoritzat orientat cap a l'exterior, les empreses necessiten un servidor DNS recursiu orientat a l'interior. "Un servidor DNS recursiu està destinat a subministrar cerques de dominis a tots els vostres empleats", va explicar Nachreiner. "Hauria de poder respondre a les consultes sobre tots els llocs d'Internet, però només hauria de respondre a les persones de la vostra organització."

El problema és que molts servidors DNS recursius no limiten correctament les respostes a la xarxa interna. Per dur a terme un atac de reflexió DNS, els dolents només necessiten trobar un conjunt de servidors configurats incorrectament. "Si bé les empreses necessiten servidors DNS recursius per als seus empleats", ha conclòs Nachreiner, "NO haurien d'obrir aquests servidors a peticions de ningú a Internet".

Rob Kraus, director d’investigació de l’equip d’investigació en enginyeria de Solutionary (SERT), va assenyalar que "conèixer com és realment la vostra arquitectura DNS tant des de dins com des de fora pot ajudar a identificar les llacunes en el desplegament DNS de les vostres organitzacions". Va aconsellar assegurar-se que tots els servidors DNS queden completament pegats i assegurats a les especificacions. Per assegurar-vos que ho heu fet bé, Kraus suggereix que "utilitzar exercicis de pirateria ètica ajuden a descobrir configuracions errònies".

Sí, hi ha altres maneres de llançar atacs DDoS, però la reflexió DNS és especialment efectiva a causa de l’efecte d’amplificació, on una petita quantitat de trànsit de l’atacant genera una quantitat enorme d’entrada a la víctima. La reducció d'aquesta via particular obligarà com a mínim els cibercriminals a inventar un nou tipus d'atac. Això és un progrés.

Comprensió de l'atac de spamhaus ddos