Sofisticato attacco DDOS

11

Secondo questo article , ProtonMail è stato vittima di un attacco DDOS molto sofisticato.

"At 2pm there was a dramatic escalation," said Yen. According to Yen and Gargula the attackers smacked 15 different ISP nodes simultaneously, then attacked all the ISPs going into the datacenter using a wide range of sophisticated tactics. "This was not your standard DDoS anymore," Yen explained, "in fact most of the experts we spoke with had never seen anything like this."

"First we moved the BGP IP prefix," said Gargula as he detailed the attack, "I tried to isolate legit human traffic from bot traffic and not to mix it up. We sacrificed one of their three BGP uplink layers as a 'canary' to test the sophistication of the attack. Then we changed the configuration for the IP uplink."

In che modo aiuta lo spostamento del prefisso BGP IP? Da quanto ho capito, fino a quando il record MX può essere risolto in un IP, l'attaccante può inondare l'IP con pacchetti che verranno indirizzati al nuovo AS. Se non può essere risolto, anche gli utenti legittimi non potranno accedere al servizio.

E inoltre, quali altre sofisticate tecniche DDOS ci sono?

    
posta limbenjamin 24.03.2016 - 17:06
fonte

2 risposte

1

Secondo me solo!

Non c'è sofisticazione nell'attacco Denial of Service, ma in DDOS l'unica sofisticazione è che puoi preparare un attacco contemporaneamente da più bersagli. Quindi .... Se (cervello) {nessun grosso problema}.

How does moving the BGP IP prefix help?

Bene, ci sono due cose che potresti fare con BGP per difenderti contro DDOS:

1. RTBH - Black Hole con attivazione remota (quello radicale)

Blackhole (stop al traffico) per l'IP che viene attaccato. Lato negativo: l'indirizzo IP scelto come target non è più raggiungibile. Beneficio: Il resto della rete rimane attivo.

2. RTBH basato su origine (la seconda opzione si basa sulla prima)

RTBH può anche essere utilizzato (in determinate configurazioni) per bloccare il traffico proveniente da specifici IP (in un DDoS reale che non sarebbe di grande aiuto in quanto il traffico proviene da migliaia di IP).

Nel tuo caso potresti ottenere tutti i prefissi per l'AS da un Database di routing come RADB e bloccarli con RTBH basato su Source. Il traffico continuerà comunque a colpire la tua rete alla frontiera.

Quando si utilizza "semplice" RTBH, il vantaggio è che è possibile inviare questi percorsi RTBH al proprio ISP Upstream (se lo supportano) che potrebbero quindi bloccare il traffico nella propria rete già in modo da non doverlo gestire.

Risposta breve:

Hai server A, B, C, D sulla stessa rete (diversi IP) ... A è sotto attacco! A viene rimosso da DDOS e anche B, C, D vanno a dormire perché tu usi la stessa rete. Uccidi muovi A fuori dalla portata del DDOS e ti svegli B, C, D.

    
risposta data 24.03.2016 - 17:27
fonte
3

"First we moved the BGP IP prefix," said Gargula as he detailed the attack, "I tried to isolate legit human traffic from bot traffic and not to mix it up. We sacrificed one of their three BGP uplink layers as a 'canary' to test the sophistication of the attack. Then we changed the configuration for the IP uplink."

"In che modo lo spostamento del prefisso BGP IP aiuta?"

Credo che si stiano riferendo a un sinkhole - un router sacrificale, in questo caso un router BGP, dal momento che BGP potrebbe non richiedere molta autenticazione. Configurando il sinkhole per "pubblicizzare percorsi con indirizzi di destinazione bogon, puoi impostare una trappola centrale per il traffico dannoso di tutti i tipi "[Hacking Exposed 7: Network Security Secrets and Solutions, 2012]. Gli elenchi degli indirizzi bogon possono essere trovati online: www.cymru.com/Bogons , slides

"E inoltre, quali altre sofisticate tecniche DDOS ci sono?"

Esistono numerose tecniche sofisticate di DDoS. DDoS sfrutta i metodi DoS utilizzando una superficie di attacco distribuita. La maggior parte di noi probabilmente sa di flood SYN, dove un pacchetto syn viene inviato con un indirizzo di origine falsificato e il sistema ricevente prova a riconoscere che non riceve una risposta e viene lasciato con una connessione parziale in una coda breve che è facilmente disabilitata dall'allagamento. Allo stesso modo, viene progettato un flood UDP e gli indirizzi IP di origine sono spesso falsificati per indirizzare i server DNS che si basano sul protocollo UDP.

L'amplificazione riflettente è un altro attacco DDoS (DRDoS) che utilizza nuovamente lo spoofing. Spesso le botnet inviano i pacchetti, l'indirizzo di origine è l'indirizzo IP della vittima e i pacchetti vengono inviati alle macchine che cercano di rispondere alla vittima simultaneamente, generando un flusso di pacchetti inviati alla vittima. Ad esempio, i server DNS rispondono a piccole richieste con una grande quantità di informazioni e l'amplificazione DNS può sopraffare il sistema della vittima.

Gli attacchi DDoS a livello di applicazione utilizzano le stesse idee a un livello superiore, ad esempio il livello web, piuttosto che il livello di trasporto o di comunicazione. Qui l'obiettivo dell'attaccante è trovare una richiesta facile e breve che generi molto lavoro nell'API della vittima. Ad esempio, una richiesta di ricerca di una sola parola può consumare molti cicli sulla macchina della vittima. O un sito basato su database, potrebbe avere pagine che attivano le query del database quando viene richiesto l'URL. Ora, l'autore dell'attacco può utilizzare solo alcune query al secondo, facendo le richieste in modo distribuito o meno, e arrestando il blocco della macchina della vittima.

C'è anche un attacco DoS a basso tasso in cui l'attaccante fa sì che una connessione TCP entri in uno stato di ritrasmissione. Se abbastanza connessioni entrano in questo stato, la macchina della vittima subisce un calo delle prestazioni.

Vedi Hacking Exposed 7: Segreti della sicurezza di rete & Soluzioni per ulteriori discussioni sugli attacchi DDoS. Vedi Wikipedia per altri attacchi: link

    
risposta data 28.03.2016 - 21:58
fonte

Leggi altre domande sui tag