К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

Одна из самых больших DDoS-атак в истории

Модератор
0 - 28.03.2013 - 11:28
http://www.opennet.ru/opennews/art.shtml?num=36525
http://habrahabr.ru/post/174483/
еще один повод посмотреть свой DNS-сервер на предмет разрешения рекурсивных запросов от кого попало.



Гость
1 - 28.03.2013 - 12:47
dns amplification attack это сила.
Гость
2 - 28.03.2013 - 14:15
Если такой тип атаки будет проводиться через ботнет, то возможны и более впечатляющие цифры потока.
Гость
3 - 28.03.2013 - 14:42
думаете без ботнета обошлось? :)
Гость
4 - 28.03.2013 - 14:49
3-Gochy > В данном случае, думаю, что - да. Этот абузоустойчивый провайдер мог и своими ресурсами сгенерировать нужное количество запросов. Хотя, учитывая контингент его клиентов, клиенты и сами могли через ботнет отомстить.
Гость
5 - 28.03.2013 - 16:32
своими руками сотворить одну из мощнейших атак в истории? не слишком ли льстите прову? ;)
Гость
6 - 28.03.2013 - 16:49
Просто пара цитат, важное выделил.

Цитата:
всем привет.

новостей будет несколько, конспектом.

1. эта атака есть полной повторение того что мы видели в октябре 2010, с той лишь разницей что это не рекурсивный запрос, а запрос ANY.

2. актуальная атака сопровождается SYN flood в 10-20Mpps, что указывает на наличие достаточно большой фермы подконтрольных серверов. наша оценка 100-150 штук.

3. группа проводящая эту атаку возникла на горизонте около полутора месяцев назад с цифрой 10-20Gbps, постепенно наращивая скорости — сканивали новые открытые резолверы и увеличивали количество подконтрольных серверов (генераторов первой ступеньки атаки и syn компоненты)

4. в прошлую пятницу в 6 утра они пришли в гости к qrator на новом уровне 100, bgp flowspec нейтрализовал UDP составляющую, synflood отработали обычными методами — syncookies.

5. с прошлой пятницы в рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным.

6. атакующая команда вероятнее всего наши соотечественники или ближайшие соседи.

7. BCP-38 ( tools.ietf.org/html/bcp38 ), query ratelimiting ( www.redbarn.org/dns/ratelimits )

8. генератором второй ступени могут выступать и другие UDP services, например NTP.

9. парням сломавшим интернет должно быть стыдно, так-же как и парням которые не соблюдают пункт 7.

пардон, но на нормальную статью просто нет времени. да и материал не очень интересный. OFN.
Цитата:
Атаки без ботнета

Существуют атаки, которые не используют ботнеты. Распределенную атаку можно провести и с помощью механизма отражения. Самое распространенное явление - атаки DNS amplification с отражением и увеличением мощности. Достаточно найти любой сетевой сервис UDP based без handshake, послать пакет размером N с фальсифицированным источником и в ответ получить пакет N x K. В таком случае для реализации распределенной атаки нужно иметь список IP-адресов, на которых есть эти сервисы, один подключенный к высокоскоростному Интернет-каналу сервер, который выдаст набор запросов в эти «отражатели» с подделанным IP-адресом жертвы. Ответы отправятся к жертве, снизят до нуля ее пропускную способность и выведут ее из рабочего состояния. Речь идет о сервере DNS - UDP 53, где можно сделать рекурсивный запрос по зоне. Сам запрос небольшой, а вот ответ на него будет длинным. Чтобы дополнительно увеличить коэффициент K атаки, достаточно «подкормить» эти серверы фальшивыми доменными зонами с очень длинными именами. Получая их рекурсивно, с поддельным адресом жертвы, можно увеличить K в разы. Второй вариант - это NTP, протокол синхронизации времени, который тоже имеет уязвимости подобного рода при плохо сконфигурированных серверах.
Цитата:
К наиболее популярным методикам относится DNS amplification. Достаточно найти любой сетевой сервис UDP based без handshake, послать пакет размером N с фальсифицированным источником и в ответ получить пакет N x K. В таком случае для реализации распределенной атаки нужно иметь список IP-адресов, на которых есть эти сервисы, один очень хорошо подключенный сервер на гигабите, который выдаст набор пакетов в эти «отражатели» с поделанным IP-адресом жертвы. Пакет отправится к жертве и снизит до нуля ее пропускную способность и выведет ее из рабочего состояния. Речь идет о сервере DNS — UDP 53, где можно сделать такую штуку, как рекурсивный запрос по зоне. Сам по себе он небольшой, а вот ответ на него будет длинным. Чтобы дополнительно увеличить коэффициент K атаки, достаточно «подкормить» эти сервера каким-нибудь большими фальшивыми доменными зонами. Получая их рекурсивно, с поддельным адресом жертвы, можно увеличить K в разы. Второй вариант — это NTP, протокол синхронизации времени, который тоже имеет уязвимости подобного рода при плохо сконфигурированных серверах.

Существуют атаки, которые не используют ботнеты. Распределенную атаку можно провести и с помощью механизма отражения. Классика жанра — атаки DNS amplification с отражением и увеличением мощности.
Цитаты от компетентных в деле защиты от DDOS товарищей. Как Вы понимаете, у провайдера хватит и серверов и каналов и адресного пространства, чтобы самому осуществить подобную атаку без помощи ботнетов.
Гость
7 - 28.03.2013 - 17:44
почитал один срач в опеннете, и два на хабре, разумные мысли тонут в навозе и там и там, примерно 50-70% писателей ненавидят спамхаус всеми фибрами души, им все равно где пукать) была бы красная тряпка спамхаус

6-Напас Напасович > термин "отражатели" понравился, из разряда "тень на плетень"


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены