Video: Black Hat USA 2013 - Lessons from Surviving a 300Gbps Denial of Service Attack (Oktober 2024)
Dette forår forår blev spam-vagthund Spamhaus ramt med et distribueret benægtelse af sevice (DDoS) angreb, der tog deres servere offline og forårsagede midlertidige regionale internetforstyrrelser. CloudFlare, et webprestations- og sikkerhedsfirma, hjalp Spamhaus med at komme sig. På Black Hat-konferencen i Las Vegas rapporterede Matthew Prince, medstifter og administrerende direktør for CloudFlare, om netop hvad der blev lært.
"Det pæne ved Spamhaus er, at de er en rigtig åben organisation, " sagde Prince. "De fleste af vores kunder kan ikke lide, at vi taler om angreb, men Spamhaus-fyre sagde hej, fortæl historien."
Prince gennemgik angrebens faser, der gennemgik et par dage med lavt niveau DDoS, der ikke skabte problemer, men til sidst gik op til en hidtil uset 309 Gbps (gigabits per sekund). Mens medier rapporterede, at angrebet kom fra en bunker i Holland, påpegede Prince, at dette ikke var den virkelige hovedhjernet. "Hej, han talte med New York Times!" fyrede Prince. Det viser sig, at hjernerne bag angrebet tilhørte en 15-årig dreng i London, der nu er varetægtsfængslet.
Hvilke ressourcer havde dette barn behov? "Du har ikke brug for et botnet, " sagde Prince, "og du har ikke brug for mange mennesker, ligesom Anonymous." Han fortsatte med at sige, at angrebet ikke havde brug for meget teknisk ekspertise. "Det er som en hulmann, der slår dit netværk ned." Han fortsatte med at vise en meget enkel linje med netværksinstruktioner, der kunne demonstrere den type angreb, der blev brugt.
Alt hvad du behøver til denne form for angreb er en liste over åbne DNS-opløsere og adgang til nogle servere, der tillader IP-forfalskning af kilder. "Det er ingredienserne, " sagde Prince. "Hvis du har disse to ting, endda et lille antal, kan du starte store angreb. Og intet er ændret siden Spamhaus-angrebet."
Prince formanede deltagere til at rydde op i deres egne netværk og sørge for, at de ikke er en del af problemet. "Kontroller dit eget IP-rum på OpenResolver.com, " sagde Prince, "og rett alle fejlkonfigurerede enheder. Du kan blive overrasket over at opdage, at du har et problem." ”Et simpelt flag i dine kantrutere vil forhindre IP-spoofing, ” fortsatte han. "Der er ingen undskyldning for ikke at gøre dette." Han afsluttede med en række mere tekniske anbefalinger til netværkshygiejne.
Desværre tager Internettet som helhed ikke dette råd. Siden Spamhaus-angrebet er antallet af kendte åbne DNS-opløsere vokset fra 21 millioner til 28 millioner. Prince påpegede en meget enkel ændring, der kunne have gjort multipliseret trafikken i Spamhaus-angrebet med ti eller endda 100. Lad os håbe, at de gode fyre kan forblive i forkant af spillet.
Følg SecurityWatch for at få mere Black Hat 2013-dækning.
