L'attacco DDoS del 21 ottobre 2016 al servizio DNS di Dyn ha causato l'esaurimento della larghezza di banda?

TL; DR: Gli attacchi hanno limitato in modo efficace i buffer di memoria allocati e hanno consentito l'utilizzo della CPU fino alla capacità, lasciando i server incapaci di rispondere a richieste legittime. L'esaurimento della larghezza di banda si verifica raramente con gli attacchi SYN, poiché per gli attacchi SYN e / o le ricerche DNS fasulle è richiesta una larghezza di banda molto ridotta.

Un TCP SYN flood semplicemente riempie i buffer di memoria disponibili mentre il server attende la restituzione di pacchetti ACK inesistenti. In questo attacco si consuma poca larghezza di banda e può abbattere un server con piccoli pool TCP, anche se avevano letteralmente una larghezza di banda illimitata, perché la larghezza di banda non è la fonte del collo di bottiglia, la memoria contenuta nelle connessioni in sospeso.

Puoi visualizzarlo come il centralino di un centralinista, dove molte delle chiamate sono solo persone che respirano nell'altra estremità della linea senza dire nulla di utile; i chiamanti legittimi devono attendere che l'operatore decida di riagganciare a tutte le chiamate di scherzo. Alla fine, non ci sono più linee telefoniche di riserva in modo che i chiamanti legittimi ricevano effettivamente un tono di occupato e devono riprovare più tardi.

Un attacco antepida usa anche una larghezza di banda molto ridotta, poiché gli script richiedono semplicemente nomi di sottodominio casuali del dominio di destinazione, costringendo il server DNS a trascorrere il tempo eseguendo ricerche ricorsive e interrogando ripetutamente i record DNS per le voci non nella sua cache . In questo caso, invece che la memoria è il collo di bottiglia, la CPU riempie quel ruolo eseguendo molto più lavoro di quanto non sia necessario per richieste legittime.

È possibile visualizzare questo tipo di attacco quando molte persone chiamano l'operatore al centralino, ognuna delle quali chiede di parlare a persone inesistenti. L'operatore deve prendere tempo inizialmente per cercare ogni richiesta prima di dire al chiamante che non c'è nessuno lì con quel nome, mentre i chiamanti che vogliono parlare con persone conosciute devono aspettare tutte le ricerche che l'operatore deve passare. Funziona meglio se si visualizza l'operatore con una rubrica enorme e devono trascorrere molto tempo a sfogliare le pagine per determinare se il nome esiste realmente.

L'esaurimento della larghezza di banda, a titolo di confronto, si verifica quando la rete si satura di dati che tentano di raggiungere il server. In questo caso, né la memoria del server né la potenza di elaborazione sono il collo di bottiglia, ma dipendono invece dalla rete che supera la capacità del 100% per un certo periodo di tempo. Il modo migliore per realizzare questo tipo di attacco è quello di inviare pacchetti veramente grandi davvero veloci, dal maggior numero possibile di posizioni.

Questo è più difficile da visualizzare, ma immagina molte chiamate di scherzi che arrivano contemporaneamente, e l'operatore al centralino deve aspettare che ogni persona finisca di dire quello che ha da dire prima di passare alla prossima chiamata. Ogni chiamata scherzosa è in realtà qualcuno che chiacchiera su tutta la loro storia di vita e storia familiare negli ultimi 50 anni, legando le linee per quel chiamante che vuole semplicemente essere trasferito. Non è un'analogia così perfetta come è per gli altri, però, perché in effetti ciò avviene effettivamente a monte dall'operatore. È fuori dal loro controllo.

Perché non disabilitare la ricerca?

Devi considerare quale sia l'obiettivo dell'attaccante qui negare agli utenti dei siti che utilizzano DNS di Dyn di risolvere i nomi. Se Dyn ha disabilitato la ricerca del sottodominio mentre si verifica un attacco, ciò avrebbe negato agli utenti legittimi di questi siti di essere in grado di risolvere anche questi nomi. Questo è esattamente ciò che voleva l'attaccante, obiettivo raggiunto per loro.

Ogni secondo che Dyn ha disabilitato il loro servizio, i loro clienti, i grandi siti che si affidano al loro servizio DNS è irraggiungibile e questi grandi siti stanno perdendo enormi quantità di denaro. Quando il cancello è chiuso, l'attaccante può semplicemente comporre l'attacco (riducendo i propri costi e rendendosi meno visibili e più difficili da bloccare) e attendere fino a che la Dyn si riapri e poi semplicemente rientri, risciacqua e ripeti. Per tutto il tempo i clienti legittimi non possono connettersi ai loro siti preferiti.

Questo è tutto speculativo:

Guardando gli eventi e i servizi forniti da questa azienda, sembra che questo sia stato molto mirato contro i pool DNS che cercano di ottimizzare il posizionamento geografico e la direzione del traffico. Il motivo per cui TCP viene utilizzato è a causa delle misurazioni RTT (imposta il bit di troncamento e il client invia la richiesta di tcp) e auth. Questo può darti approssimazioni al GEO e supportato dai tag geografici ISP e ASN.

Se si trattasse di sistemi basati su linux che forniscono backlog tcp syn, la regolazione potrebbe essere stata disattivata per il volume. A causa della quantità di BOT anche a basso volume (100 syns al secondo per bot) potrebbero esserci ~ 100million syns al secondo al picco se il CNC emette 100 syn al secondo. Inoltre, potrebbe esserci un effetto secondario associato allo spoofing se gli intervalli degli indirizzi di origine si concentrano sugli indirizzi IP associati a una regione geografica specifica come il costo est degli Stati Uniti.

Throttling, funziona ma ancora solo su scale specifiche. Quindi ti imbatti nel problema di Needle e haystack del traffico legit contro il traffico falsificato con la stessa fonte. Come ho detto sopra, il range del geo ip potrebbe essere stato preso di mira per lo spoofing tanto quanto il servizio stesso.