上周,一次特别暴力的分布式服务否认攻击(DDOS)席卷了香港人,一个Antispam组,流量高达300 Gbit/s。到目前为止闻所未闻。根据专家的说法,有能力的流动强度甚至弯曲了画布背部网络的路由器。攻击者如何成功? Spamhaus转向寻求帮助的公司Cloudflare公司在两个博客笔记中提供了技术解释。
但首先提醒。拒绝服务的攻击是向服务器发送如此多的请求,以使他饱和并掉进了白菜。通常,这种类型的攻击是由僵尸网络网络的节点进行的,这使您可以增加请求源。然后,我们谈到拒绝分布式服务。
IP地址篡夺
但是,这还不足以达到300 GBIT/s的功率。为此,Spamhaus前锋依靠一个众所周知的DNS服务器缺陷,这些机器在互联网上分发,并反映了IP地址路由的域名。
前锋的僵尸节点向一系列DNS服务器发送了有关“成熟”域的请求,但通过使他们相信此请求来自Spamhaus(通过So -call affered affered地址篡夺技术)。结果:所有DNS服务器都将其答案发送给AntisPAM组服务器。对于网络犯罪分子的兴趣是,发送的答案比请求要大得多。
虽然僵尸PC发送的DNS请求仅为36个长字节,但DNS服务器发送给Spamhaus的响应为3,000个字节。因此,我们有100个因素的放大!另一个优点,DNS服务器通常比僵尸网络的僵尸PC具有更好的带宽。得益于这种杠杆效果,一个中小型大小的BOTT足以产生散落在Antispam组上的强大数字流,即Esteits Cloudflare。
一个众所周知的问题
基于DSN服务器的这种放大技术并不是什么新鲜事物,多年来,许多专家都指出了问题。 2006年,AFNIC的工程师StéphaneBortzmeyer已经在几篇有关该主题的技术文章中写道。此攻击实际上是基于两个要素。一方面,在Internet请求中篡夺源地址太容易了。另一方面,许多DNS服务器仍以“打开”方式配置,也就是说,他们接受任何人的查询。两者的结合使通过DNS扩增产生这些攻击,这成为真正的核网络武器。
例如,限制这些攻击的一种方法将是“关闭” DNS服务器,以便它们仅响应某些IP地址的请求。此外,访问提供商不应放置他们的网络“让地址是该地址的IP软件包分配了该地址”,StéphaneBortzmeyer在博客文章中解释说。最后,一切都是组织和意志的问题。
资料来源:
这第一的和第二Cloudflare博客注释。
StéphaneBortzmeyer的文章开放DNS服务器的危险然后继续IP地址的篡夺。
另请阅读:
