Одна из самых больших DDoS-атак в истории [url]http://www.opennet.ru/opennews/art.shtml?num=36525[/url] [url]http://habrahabr.ru/post/174483/[/url] еще один повод посмотреть свой DNS-сервер на предмет разрешения рекурсивных запросов от кого попало. |
dns amplification attack это сила. |
Если такой тип атаки будет проводиться через ботнет, то возможны и более впечатляющие цифры потока. |
думаете без ботнета обошлось? :) |
3-Gochy > В данном случае, думаю, что - да. Этот абузоустойчивый провайдер мог и своими ресурсами сгенерировать нужное количество запросов. Хотя, учитывая контингент его клиентов, клиенты и сами могли через ботнет отомстить. |
своими руками сотворить одну из мощнейших атак в истории? не слишком ли льстите прову? ;) |
Просто пара цитат, важное выделил. [quote] всем привет. новостей будет несколько, конспектом. 1. эта атака есть полной повторение того что мы видели в октябре 2010, с той лишь разницей что это не рекурсивный запрос, а запрос ANY. [b]2. актуальная атака сопровождается SYN flood в 10-20Mpps, что указывает на наличие достаточно большой фермы подконтрольных серверов. наша оценка 100-150 штук.[/b] 3. группа проводящая эту атаку возникла на горизонте около полутора месяцев назад с цифрой 10-20Gbps, постепенно наращивая скорости — сканивали новые открытые резолверы и увеличивали количество подконтрольных серверов (генераторов первой ступеньки атаки и syn компоненты) 4. в прошлую пятницу в 6 утра они пришли в гости к qrator на новом уровне 100, bgp flowspec нейтрализовал UDP составляющую, synflood отработали обычными методами — syncookies. 5. с прошлой пятницы в рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным. 6. атакующая команда вероятнее всего наши соотечественники или ближайшие соседи. 7. BCP-38 ( tools.ietf.org/html/bcp38 ), query ratelimiting ( [url]www.redbarn.org/dns/ratelimits[/url] ) 8. генератором второй ступени могут выступать и другие UDP services, например NTP. 9. парням сломавшим интернет должно быть стыдно, так-же как и парням которые не соблюдают пункт 7. пардон, но на нормальную статью просто нет времени. да и материал не очень интересный. OFN. [/quote] [quote] [b]Атаки без ботнета[/b] Существуют атаки, [b]которые не используют ботнеты.[/b] Распределенную атаку можно провести и с помощью механизма отражения. Самое распространенное явление - атаки DNS amplification с отражением и увеличением мощности. Достаточно найти любой сетевой сервис UDP based без handshake, послать пакет размером N с фальсифицированным источником и в ответ получить пакет N x K. В таком случае для реализации распределенной атаки нужно иметь список IP-адресов, на которых есть эти сервисы, один подключенный к высокоскоростному Интернет-каналу сервер, который выдаст набор запросов в эти «отражатели» с подделанным IP-адресом жертвы. Ответы отправятся к жертве, снизят до нуля ее пропускную способность и выведут ее из рабочего состояния. Речь идет о сервере DNS - UDP 53, где можно сделать рекурсивный запрос по зоне. Сам запрос небольшой, а вот ответ на него будет длинным. Чтобы дополнительно увеличить коэффициент K атаки, достаточно «подкормить» эти серверы фальшивыми доменными зонами с очень длинными именами. Получая их рекурсивно, с поддельным адресом жертвы, можно увеличить K в разы. Второй вариант - это NTP, протокол синхронизации времени, который тоже имеет уязвимости подобного рода при плохо сконфигурированных серверах. [/quote] [quote] К наиболее популярным методикам относится DNS amplification. Достаточно найти любой сетевой сервис UDP based без handshake, послать пакет размером N с фальсифицированным источником и в ответ получить пакет N x K. В таком случае для реализации распределенной атаки нужно иметь список IP-адресов, на которых есть эти сервисы, [b]один очень хорошо подключенный сервер на гигабите, который выдаст набор пакетов в эти «отражатели» с поделанным IP-адресом жертвы.[/b] Пакет отправится к жертве и снизит до нуля ее пропускную способность и выведет ее из рабочего состояния. Речь идет о сервере DNS — UDP 53, где можно сделать такую штуку, как рекурсивный запрос по зоне. Сам по себе он небольшой, а вот ответ на него будет длинным. Чтобы дополнительно увеличить коэффициент K атаки, достаточно «подкормить» эти сервера каким-нибудь большими фальшивыми доменными зонами. Получая их рекурсивно, с поддельным адресом жертвы, можно увеличить K в разы. Второй вариант — это NTP, протокол синхронизации времени, который тоже имеет уязвимости подобного рода при плохо сконфигурированных серверах. Существуют атаки, [b]которые не используют ботнеты.[/b] Распределенную атаку можно провести и с помощью механизма отражения. Классика жанра — атаки DNS amplification с отражением и увеличением мощности. [/quote] Цитаты от компетентных в деле защиты от DDOS товарищей. Как Вы понимаете, у провайдера хватит и серверов и каналов и адресного пространства, чтобы самому осуществить подобную атаку без помощи ботнетов. |
почитал один срач в опеннете, и два на хабре, разумные мысли тонут в навозе и там и там, примерно 50-70% писателей ненавидят спамхаус всеми фибрами души, им все равно где пукать) была бы красная тряпка [em]спамхаус[/em] 6-Напас Напасович > термин "отражатели" понравился, из разряда "тень на плетень" |
Текущее время: 10:37. Часовой пояс GMT +3. |