Un recente attacco ai servizi DNS di Dyn ha interessato diversi importanti siti web lo scorso venerdì 21 ottobre 2016. Sarei interessato a sapere se si trattava dell'esaurimento della larghezza di banda, o se era principalmente carico sul server e / o sull'attrezzatura del router?
La dichiarazione ufficiale afferma che 10 milioni di milioni di indirizzi IP sono stati coinvolti in l'attacco DDoS. Presumo che l'esaurimento della larghezza di banda si verificherebbe in tali circostanze. Gli attacchi di esaurimento della larghezza di banda, naturalmente, possono essere risolti solo in collaborazione con l'ISP .
Tuttavia, basato su questa descrizione , sembra che non sia la sostanza dell'attacco. (Sottolineatura mia)
[Dale Drew, CSO of Level 3] says the attack consisted mainly of TCP SYN floods aimed directly at against port 53 of Dyn’s DNS servers, but also a prepend attack, which is also called a subdomain attack. That’s when attackers send DNS requests to a server for a domain for which they know the target is authoritative. But they tack onto the front of the domain name random prepends or subnet designations. The server won’t have these in its cache so will have to look them up, sapping computational resources and effectively preventing the server from handling legitimate traffic, he says.
D'altro canto, entrambi mi sembrano abbastanza semplici da mitigare rapidamente. Ad esempio, disattivazione / riduzione temporanea delle richieste TCP e ricorsive
(o la mia interpretazione è errata? Forse non è una ricerca ricorsiva, solo una ricerca nel database?)
per fare spazio a richieste più importanti; come le autorevoli ricerche su i.e. twitter.com, che sono servite quasi esclusivamente su UDP .
Oltre a capire meglio perché quei vettori non potevano essere temporaneamente sacrificati per mitigare l'attacco; la mia domanda principale è se si è verificato o meno l'esaurimento della larghezza di banda? (È una conoscenza pubblica?) Questo spiegherebbe sicuramente l'impatto più dei vettori sopra riportati.