| |
Просто пара цитат, важное выделил.
Цитата:
всем привет.
новостей будет несколько, конспектом.
1. эта атака есть полной повторение того что мы видели в октябре 2010, с той лишь разницей что это не рекурсивный запрос, а запрос ANY.
2. актуальная атака сопровождается SYN flood в 10-20Mpps, что указывает на наличие достаточно большой фермы подконтрольных серверов. наша оценка 100-150 штук.
3. группа проводящая эту атаку возникла на горизонте около полутора месяцев назад с цифрой 10-20Gbps, постепенно наращивая скорости — сканивали новые открытые резолверы и увеличивали количество подконтрольных серверов (генераторов первой ступеньки атаки и syn компоненты)
4. в прошлую пятницу в 6 утра они пришли в гости к qrator на новом уровне 100, bgp flowspec нейтрализовал UDP составляющую, synflood отработали обычными методами — syncookies.
5. с прошлой пятницы в рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным.
6. атакующая команда вероятнее всего наши соотечественники или ближайшие соседи.
7. BCP-38 ( tools.ietf.org/html/bcp38 ), query ratelimiting ( www.redbarn.org/dns/ratelimits )
8. генератором второй ступени могут выступать и другие UDP services, например NTP.
9. парням сломавшим интернет должно быть стыдно, так-же как и парням которые не соблюдают пункт 7.
пардон, но на нормальную статью просто нет времени. да и материал не очень интересный. OFN.
| Цитата: Атаки без ботнета
Существуют атаки, которые не используют ботнеты. Распределенную атаку можно провести и с помощью механизма отражения. Самое распространенное явление - атаки DNS amplification с отражением и увеличением мощности. Достаточно найти любой сетевой сервис UDP based без handshake, послать пакет размером N с фальсифицированным источником и в ответ получить пакет N x K. В таком случае для реализации распределенной атаки нужно иметь список IP-адресов, на которых есть эти сервисы, один подключенный к высокоскоростному Интернет-каналу сервер, который выдаст набор запросов в эти «отражатели» с подделанным IP-адресом жертвы. Ответы отправятся к жертве, снизят до нуля ее пропускную способность и выведут ее из рабочего состояния. Речь идет о сервере DNS - UDP 53, где можно сделать рекурсивный запрос по зоне. Сам запрос небольшой, а вот ответ на него будет длинным. Чтобы дополнительно увеличить коэффициент K атаки, достаточно «подкормить» эти серверы фальшивыми доменными зонами с очень длинными именами. Получая их рекурсивно, с поддельным адресом жертвы, можно увеличить K в разы. Второй вариант - это NTP, протокол синхронизации времени, который тоже имеет уязвимости подобного рода при плохо сконфигурированных серверах.
| Цитата:
К наиболее популярным методикам относится DNS amplification. Достаточно найти любой сетевой сервис UDP based без handshake, послать пакет размером N с фальсифицированным источником и в ответ получить пакет N x K. В таком случае для реализации распределенной атаки нужно иметь список IP-адресов, на которых есть эти сервисы, один очень хорошо подключенный сервер на гигабите, который выдаст набор пакетов в эти «отражатели» с поделанным IP-адресом жертвы. Пакет отправится к жертве и снизит до нуля ее пропускную способность и выведет ее из рабочего состояния. Речь идет о сервере DNS — UDP 53, где можно сделать такую штуку, как рекурсивный запрос по зоне. Сам по себе он небольшой, а вот ответ на него будет длинным. Чтобы дополнительно увеличить коэффициент K атаки, достаточно «подкормить» эти сервера каким-нибудь большими фальшивыми доменными зонами. Получая их рекурсивно, с поддельным адресом жертвы, можно увеличить K в разы. Второй вариант — это NTP, протокол синхронизации времени, который тоже имеет уязвимости подобного рода при плохо сконфигурированных серверах.
Существуют атаки, которые не используют ботнеты. Распределенную атаку можно провести и с помощью механизма отражения. Классика жанра — атаки DNS amplification с отражением и увеличением мощности.
| Цитаты от компетентных в деле защиты от DDOS товарищей. Как Вы понимаете, у провайдера хватит и серверов и каналов и адресного пространства, чтобы самому осуществить подобную атаку без помощи ботнетов.
| |
