Video: Реклама подобрана на основе следующей информации: (Oktober 2024)
Uanset hvilken virkning der generelt er på internettet, benægter ingen, at dette angreb, der toppede med 300 Gbps, var det største DDoS-angreb nogensinde registreret. Men hvad er et DDoS-angreb, og hvilke forsvar er tilgængelige?
Sådan virkede angrebet
Et Denial of Service-angreb overbelaster blot offerets servere ved at oversvømme dem med data, flere data end serverne kan håndtere. Dette kan forstyrre offerets forretning eller slå sit websted offline. At starte et sådant angreb fra en enkelt websted er ineffektiv, da offeret hurtigt kan blokere denne trafik. Angribere lancerer ofte et Distribueret Denial of Service-angreb via tusinder af uheldige computere kontrolleret af et botnet.
David Gibson, VP for strategi for det globale databeskyttelsesfirma Varonis, forklarede processen på enkle vilkår. "Forestil dig, at en angriber kan forfalske dit telefonnummer, så dit nummer vises på andres telefoner, når angriberen ringer, " sagde han. "Forestil dig nu, at angriberen ringer til en masse mennesker og lægger på, før de svarer. Du får sandsynligvis en flok opkald tilbage fra disse mennesker… Forestil dig nu tusinder af angribere, der gør dette - du ville helt sikkert skulle skifte telefon antal. Med nok opkald ville hele telefonsystemet være forringet."
Det tager tid og kræfter at etablere et botnet eller penge at leje et. I stedet for at gå til det problem, udnyttede CyberBunker's angreb DNS-systemet, en absolut vigtig komponent af dagens internet.
CyberBunker lokaliserede titusinder af DNS-servere, der var sårbare over for forfalskning af IP-adresser - dvs. at sende en webanmodning og falske returadressen. En lille forespørgsel fra angriberen resulterede i et svar hundreder af gange så stort, og alle disse store svar ramte offerets servere. Ved at udvide Gibsons eksempel er det som om hver af angriberenes telefonopkald videregav dit nummer til rabiøse telefonmarkører.
Hvad kan gøres?
Ville det ikke være rart, hvis nogen ville opfinde teknologi til at folie sådanne angreb? I sandhed har de allerede for tretten år siden. I maj 2000 frigav Internet Engineering Task Force papiret om bedste aktuelle praksis, kendt som BCP38. BCP38 definerer problemet og beskriver "en enkel, effektiv og ligetil metode… til at forbyde DoS-angreb, der bruger forfalskede IP-adresser."
"80 procent af internetudbydere har allerede implementeret anbefalingerne i BCP38, " bemærkede Gibson. "Det er de resterende 20 procent, der forbliver ansvarlige for at tillade forfalsket trafik." Gibson sagde problemet på en enkel måde og sagde: "Forestil dig, at hvis 20 procent af chaufførerne på vejen ikke adlyder trafiksignaler - ville det ikke længere være sikkert at køre."
Lås det ned
De her beskrevne sikkerhedsproblemer sker på en plan måde, langt over din hjemme- eller virksomhedscomputer. Du er ikke den der kan eller bør implementere en løsning; det er et job for IT-afdelingen. Det er vigtigt, at it-fyre skal styre sondringen mellem to forskellige slags DNS-servere korrekt. Corey Nachreiner, CISSP og direktør for sikkerhedsstrategi for netværkssikkerhedsfirma WatchGuard, forklarede.
"En autoritativ DNS-server er en, der fortæller resten af verden om din virksomheds eller organisations domæne, " sagde Nachreiner. "Din autoritative server skal være tilgængelig for alle på Internettet, men den skal kun svare på forespørgsler om dit virksomheds domæne." Foruden den udadvendte autoritative DNS-server har virksomheder brug for en indadvendt rekursiv DNS-server. "En rekursiv DNS-server er beregnet til at levere domæneopslag til alle dine ansatte, " forklarede Nachreiner. "Det skal være i stand til at svare på forespørgsler om alle websteder på Internettet, men det skal kun svare til folk i din organisation."
Problemet er, at mange rekursive DNS-servere ikke begrænser svarene på det interne netværk korrekt. For at gennemføre et DNS-reflektionsangreb, skal de onde bare finde en flok af disse forkert konfigurerede servere. "Mens virksomheder har brug for rekursive DNS-servere til deres ansatte, " konkluderede Nachreiner, "skulle de IKKE åbne disse servere for anmodninger fra nogen på Internettet."
Rob Kraus, direktør for forskning i Solutionary's Engineering Research Team (SERT), påpegede, at "at vide, hvordan din DNS-arkitektur virkelig ser ud både indefra og udefra, kan hjælpe med at identificere huller i dine organisations DNS-implementering." Han rådede til at sikre, at alle DNS-servere er fuldt programrettede og sikret efter specifikation. For at sikre, at du har gjort det rigtigt, foreslår Kraus "at bruge etiske hackingøvelser hjælpe med at afdække fejlkonfigurationer."
Ja, der er andre måder at starte DDoS-angreb på, men DNS-reflektion er især effektiv på grund af forstærkningseffekten, hvor en lille mængde trafik fra angriberen genererer en enorm mængde, der går ind i offeret. At lukke denne bestemte vej vil i det mindste tvinge cyberkriminelle til at opfinde en ny form for angreb. Det er fremskridt af en slags.
