ผู้โจมตีใช้เซิร์ฟเวอร์ DNS เพื่อขยายโดย 100 ปัจจัยการโจมตีของเขาโดยการปฏิเสธการให้บริการ สิ่งนี้ทำให้เป็นไปได้ที่จะเท 300 gbit/s ลงบน บริษัท Spamhaus
เมื่อสัปดาห์ที่แล้วการโจมตีการปฏิเสธการบริการแบบกระจายความรุนแรงโดยเฉพาะ (DDOS)กวาดสปาแฮทัสกลุ่ม antispam ที่มีการไหลสูงสุด 300 gbit/s ไม่เคยได้ยินมาก่อน ความแข็งแรงของการไหลที่มีความสามารถตามที่ผู้เชี่ยวชาญจะงอแม้แต่เราเตอร์ของเครือข่าย Dovas ของผืนผ้าใบ ผู้โจมตีประสบความสำเร็จได้อย่างไร? บริษัท CloudFlare ซึ่งสปาแฮทัสหันไปหาความช่วยเหลือให้คำอธิบายทางเทคนิคในบันทึกบล็อกสองหมายเหตุ
แต่ก่อนอื่นการเตือนความจำเล็กน้อย การโจมตีโดยการปฏิเสธการให้บริการคือการส่งคำขอจำนวนมากไปยังเซิร์ฟเวอร์ที่เขาอิ่มตัวและตกอยู่ในกะหล่ำปลี โดยทั่วไปการโจมตีประเภทนี้ทำจากโหนดของเครือข่ายบอตเน็ตซึ่งช่วยให้คุณสามารถเพิ่มแหล่งที่มาของคำขอ จากนั้นเราพูดถึงการปฏิเสธการบริการแบบกระจาย
ที่อยู่ IP การแย่งชิง
อย่างไรก็ตามนี่ไม่เพียงพอที่จะเข้าถึงพลัง 300 GBIT/s สำหรับสิ่งนี้กองหน้าสปาแฮทัสอาศัยข้อบกพร่องที่รู้จักกันดีของเซิร์ฟเวอร์ DNS เครื่องจักรเหล่านี้จะกระจายไปทั่วอินเทอร์เน็ตและสะท้อนชื่อโดเมนในที่อยู่ IP เส้นทาง
โหนดซอมบี้ของกองหน้าส่งคำขอเกี่ยวกับโดเมน "Ripe.net" ไปยังเซิร์ฟเวอร์ DNS ทั้งชุด แต่โดยทำให้พวกเขาเชื่อว่าคำขอนี้มาจาก Spamhaus ผลลัพธ์: เซิร์ฟเวอร์ DNS ทั้งหมดส่งคำตอบไปยังเซิร์ฟเวอร์ Antispam Group ความสนใจสำหรับอาชญากรไซเบอร์คือคำตอบที่ส่งนั้นมากกว่าคำขอมาก
ในขณะที่คำขอ DNS ที่ส่งโดยพีซี Zombies นั้นมีความยาวเพียง 36 ไบต์ แต่การตอบสนองของเซิร์ฟเวอร์ DNS ที่ส่งไปยังสปาฮัสคือ 3,000 ไบต์ ดังนั้นเราจึงมีการขยายด้วย 100 ปัจจัย! ข้อได้เปรียบอีกประการหนึ่งโดยทั่วไปเซิร์ฟเวอร์ DNS มีแบนด์วิดท์ที่ดีกว่าพีซีซอมบี้ของบอตเน็ต ด้วยเอฟเฟกต์คันโยกนี้ขวดขนาดเล็กหรือขนาดกลางก็เพียงพอที่จะสร้างสตรีมดิจิตอลที่ทรงพลังซึ่งหกในกลุ่ม Antispam, Esteits Cloudflare
ปัญหาที่รู้จักกันดี
เทคนิคการขยายนี้ที่ใช้เซิร์ฟเวอร์ DSN ไม่ใช่เรื่องใหม่และปัญหาได้รับการชี้ให้เห็นโดยผู้เชี่ยวชาญหลายคนมานานหลายปี ในปี 2549 Stéphane Bortzmeyer วิศวกรภายใน Afnic ได้เขียนไว้แล้วในบทความทางเทคนิคหลายเรื่องเกี่ยวกับเรื่องนี้ การโจมตีนี้ขึ้นอยู่กับสององค์ประกอบ ในอีกด้านหนึ่งมันง่ายเกินไปที่จะใช้ที่อยู่แหล่งที่มาในคำขออินเทอร์เน็ต ในทางกลับกันเซิร์ฟเวอร์ DNS จำนวนมากยังคงมีการกำหนดค่าในแบบ "เปิด" นั่นคือการบอกว่าพวกเขายอมรับการสืบค้นจากใคร การรวมกันของทั้งสองทำให้เป็นไปได้ที่จะสร้างการโจมตีเหล่านี้โดยการขยาย DNS ซึ่งกำลังกลายเป็นอาวุธเว็บนิวเคลียร์จริง
วิธีการ จำกัด การโจมตีเหล่านี้จะเป็นเซิร์ฟเวอร์ "ปิด" DNS เพื่อให้พวกเขาตอบสนองต่อคำขอของที่อยู่ IP บางอย่างเท่านั้น นอกจากนี้ผู้ให้บริการเข้าถึงไม่ควรปล่อยเครือข่ายของพวกเขา"ให้แพ็คเกจ IP ที่อยู่ที่อยู่เป็นที่อยู่ที่จัดสรรโดย FAI ดังกล่าว"อธิบายStéphane Bortzmeyer ในบทความบล็อก ในที่สุดทุกอย่างเป็นคำถามขององค์กรและจะ
แหล่งที่มา:
ที่อันดับแรกและที่สองหมายเหตุบล็อก CloudFlare
บทความโดยStéphane Bortzmeyer บนอันตรายของเซิร์ฟเวอร์ DNS แบบเปิดและต่อไปการแย่งชิงที่อยู่ IP-
อ่านเพิ่มเติม:
การโจมตีด้วยคอมพิวเตอร์ขนาดใหญ่มากเกินไปเว็บ
🔴อย่าพลาดข่าว 01NET ใด ๆ ติดตามเราที่Google NewsETWhatsapp-
