"First we moved the BGP IP prefix," said Gargula as he detailed the attack, "I tried to isolate legit human traffic from bot traffic and not to mix it up. We sacrificed one of their three BGP uplink layers as a 'canary' to test the sophistication of the attack. Then we changed the configuration for the IP uplink."
"In che modo lo spostamento del prefisso BGP IP aiuta?"
Credo che si stiano riferendo a un sinkhole - un router sacrificale, in questo caso un router BGP, dal momento che BGP potrebbe non richiedere molta autenticazione. Configurando il sinkhole per "pubblicizzare percorsi con indirizzi di destinazione bogon, puoi impostare una trappola centrale per il traffico dannoso di tutti i tipi "[Hacking Exposed 7: Network Security Secrets and Solutions, 2012]. Gli elenchi degli indirizzi bogon possono essere trovati online: www.cymru.com/Bogons , slides
"E inoltre, quali altre sofisticate tecniche DDOS ci sono?"
Esistono numerose tecniche sofisticate di DDoS. DDoS sfrutta i metodi DoS utilizzando una superficie di attacco distribuita. La maggior parte di noi probabilmente sa di flood SYN, dove un pacchetto syn viene inviato con un indirizzo di origine falsificato e il sistema ricevente prova a riconoscere che non riceve una risposta e viene lasciato con una connessione parziale in una coda breve che è facilmente disabilitata dall'allagamento. Allo stesso modo, viene progettato un flood UDP e gli indirizzi IP di origine sono spesso falsificati per indirizzare i server DNS che si basano sul protocollo UDP.
L'amplificazione riflettente è un altro attacco DDoS (DRDoS) che utilizza nuovamente lo spoofing. Spesso le botnet inviano i pacchetti, l'indirizzo di origine è l'indirizzo IP della vittima e i pacchetti vengono inviati alle macchine che cercano di rispondere alla vittima simultaneamente, generando un flusso di pacchetti inviati alla vittima. Ad esempio, i server DNS rispondono a piccole richieste con una grande quantità di informazioni e l'amplificazione DNS può sopraffare il sistema della vittima.
Gli attacchi DDoS a livello di applicazione utilizzano le stesse idee a un livello superiore, ad esempio il livello web, piuttosto che il livello di trasporto o di comunicazione. Qui l'obiettivo dell'attaccante è trovare una richiesta facile e breve che generi molto lavoro nell'API della vittima. Ad esempio, una richiesta di ricerca di una sola parola può consumare molti cicli sulla macchina della vittima. O un sito basato su database, potrebbe avere pagine che attivano le query del database quando viene richiesto l'URL. Ora, l'autore dell'attacco può utilizzare solo alcune query al secondo, facendo le richieste in modo distribuito o meno, e arrestando il blocco della macchina della vittima.
C'è anche un attacco DoS a basso tasso in cui l'attaccante fa sì che una connessione TCP entri in uno stato di ritrasmissione. Se abbastanza connessioni entrano in questo stato, la macchina della vittima subisce un calo delle prestazioni.
Vedi Hacking Exposed 7: Segreti della sicurezza di rete & Soluzioni per ulteriori discussioni sugli attacchi DDoS. Vedi Wikipedia per altri attacchi: link