Video: Реклама подобрана на основе следующей информации: (Listopad 2024)
Ať už je to jakýkoli účinek na internet, nikdo nepopírá, že tento útok, který dosáhl rychlosti 300 Gb / s, byl největším útokem DDoS, jaký byl kdy zaznamenán. Ale co je to útok DDoS a jaké obrany jsou k dispozici?
Jak útok fungoval
Útok typu Denial of Service jednoduše přetíží servery oběti tím, že je zaplaví daty, více dat, než jsou servery schopny zvládnout. To může narušit podnikání oběti nebo srazit její web offline. Spuštění takového útoku z jediného webového místa je neúčinné, protože oběť může tento provoz rychle blokovat. Útočníci často zahajují útok na distribuované odmítnutí služby prostřednictvím tisíců nešťastných počítačů ovládaných botnetem.
David Gibson, viceprezident pro strategii pro globální společnost na ochranu údajů Varonis, tento proces vysvětlil jednoduše. „Představte si, že nějaký útočník může vaše telefonní číslo zkazit, aby se vaše číslo objevilo na telefonech jiných lidí, když útočník zavolá, “ řekl. „Teď si představte, že útočník volá spoustu lidí a zavěsí, než odpoví. Pravděpodobně dostanete spoustu hovorů od těchto lidí… Teď si představte, že to tisíce útočníků dělají - určitě musíte změnit svůj telefon číslo. Při dostatečném počtu hovorů by byl narušen celý telefonní systém. “
Zřízení botnetu nebo peněz na zapůjčení si vyžaduje čas a úsilí. Spíše než jít k tomuto problému, útok CyberBunker využil systému DNS, což je naprosto nezbytná součást dnešního internetu.
CyberBunker lokalizoval desítky tisíc serverů DNS, které byly zranitelné vůči spoofingu adres IP - tj. Odeslání webového požadavku a předstírání zpáteční adresy. Malý dotaz od útočníka vyústil v odpověď stokrát tak velkou a všechny tyto velké odpovědi zasáhly servery oběti. Příkladem Gibsona je to, jako by každý z telefonních hovorů útočníka obrátil vaše číslo na zběsilé telemarketery.
Co lze udělat?
Nebylo by hezké, kdyby někdo vymyslel technologii, která by takové útoky zmařila? Po pravdě řečeno, již mají, před třinácti lety. V květnu 2000 vydala pracovní skupina internetového inženýrství dokument Best Current Practices známý jako BCP38. BCP38 definuje problém a popisuje „jednoduchou, účinnou a přímou metodu… zakázat útoky DoS, které používají kované IP adresy.“
„80 procent poskytovatelů internetu již implementovalo doporučení v BCP38, “ poznamenal Gibson. "Je to zbývajících 20 procent, které zůstávají zodpovědné za umožnění falešného provozu." Zjednodušeně řečeno, Gibson řekl: „Představte si, že kdyby 20 procent řidičů na silnici neposlouchalo dopravní signály - už by nebylo bezpečné řídit.“
Zamkněte to
Zde popsané bezpečnostní problémy se vyskytují na stejné úrovni, výše než váš domácí nebo obchodní počítač. Nejste ten, kdo dokáže nebo by měl implementovat řešení; to je práce pro IT oddělení. Důležité je, že IT chlapci musí správně spravovat rozlišení mezi dvěma různými druhy serverů DNS. Corey Nachreiner, CISSP a ředitel bezpečnostní strategie pro společnost pro bezpečnost sítí WatchGuard, vysvětlili.
„Autoritativní server DNS je server, který vypráví zbytku světa o doméně vaší společnosti nebo organizace, “ řekl Nachreiner. „Váš autoritativní server by měl být dostupný pro kohokoli na internetu, měl by však odpovídat pouze na dotazy týkající se domény vaší společnosti.“ Kromě autoritárního serveru DNS směřujícího ven musí společnosti potřebovat rekurzivní server DNS směřující dovnitř. „Rekurzivní server DNS je určen k poskytování vyhledávání domény všem vašim zaměstnancům, “ vysvětlil Nachreiner. "Měl by být schopen odpovídat na dotazy týkající se všech webů na internetu, ale měl by odpovídat pouze lidem ve vaší organizaci."
Problém je, že mnoho rekurzivních serverů DNS neomezuje správně odpovědi na interní síť. K provedení útoku reflexe DNS musí zlí lidé najít spoustu nesprávně nakonfigurovaných serverů. „Přestože podniky potřebují rekurzivní servery DNS pro své zaměstnance, “ uzavřel Nachreiner, „NESMÍ tyto servery otevírat požadavkům kohokoli na internetu.“
Rob Kraus, ředitel výzkumu ve společnosti Solutionary Engineering Research Team (SERT), zdůraznil, že „vědět, jak vaše architektura DNS skutečně vypadá zevnitř i zvnějšku, může pomoci identifikovat mezery v nasazení DNS vaší organizace.“ Doporučil zajistit, aby všechny servery DNS byly plně opraveny a zabezpečeny podle specifikace. Aby se ujistil, že jste to udělali správně, Kraus navrhuje „pomocí etických hackerských cvičení odhalit nesprávné konfigurace.“
Ano, existují i jiné způsoby, jak zahájit útoky DDoS, ale odraz DNS je obzvláště účinný kvůli efektu zesílení, kdy malé množství provozu od útočníka generuje obrovské množství, které se dostane do oběti. Vypnutí této konkrétní cesty donutí kyberkriminalisty přinejmenším vynalézt nový druh útoku. To je pokrok.
