L'attacco DDoS del 21 ottobre 2016 al servizio DNS di Dyn ha causato l'esaurimento della larghezza di banda?

6

Un recente attacco ai servizi DNS di Dyn ha interessato diversi importanti siti web lo scorso venerdì 21 ottobre 2016. Sarei interessato a sapere se si trattava dell'esaurimento della larghezza di banda, o se era principalmente carico sul server e / o sull'attrezzatura del router?

La dichiarazione ufficiale afferma che 10 milioni di milioni di indirizzi IP sono stati coinvolti in l'attacco DDoS. Presumo che l'esaurimento della larghezza di banda si verificherebbe in tali circostanze. Gli attacchi di esaurimento della larghezza di banda, naturalmente, possono essere risolti solo in collaborazione con l'ISP .

Tuttavia, basato su questa descrizione , sembra che non sia la sostanza dell'attacco. (Sottolineatura mia)

[Dale Drew, CSO of Level 3] says the attack consisted mainly of TCP SYN floods aimed directly at against port 53 of Dyn’s DNS servers, but also a prepend attack, which is also called a subdomain attack. That’s when attackers send DNS requests to a server for a domain for which they know the target is authoritative. But they tack onto the front of the domain name random prepends or subnet designations. The server won’t have these in its cache so will have to look them up, sapping computational resources and effectively preventing the server from handling legitimate traffic, he says.

D'altro canto, entrambi mi sembrano abbastanza semplici da mitigare rapidamente. Ad esempio, disattivazione / riduzione temporanea delle richieste TCP e ricorsive
(o la mia interpretazione è errata? Forse non è una ricerca ricorsiva, solo una ricerca nel database?)
per fare spazio a richieste più importanti; come le autorevoli ricerche su i.e. twitter.com, che sono servite quasi esclusivamente su UDP .

Oltre a capire meglio perché quei vettori non potevano essere temporaneamente sacrificati per mitigare l'attacco; la mia domanda principale è se si è verificato o meno l'esaurimento della larghezza di banda? (È una conoscenza pubblica?) Questo spiegherebbe sicuramente l'impatto più dei vettori sopra riportati.

    
posta George Bailey 24.10.2016 - 18:51
fonte

3 risposte

3

TL; DR: Gli attacchi hanno limitato in modo efficace i buffer di memoria allocati e hanno consentito l'utilizzo della CPU fino alla capacità, lasciando i server incapaci di rispondere a richieste legittime. L'esaurimento della larghezza di banda si verifica raramente con gli attacchi SYN, poiché per gli attacchi SYN e / o le ricerche DNS fasulle è richiesta una larghezza di banda molto ridotta.

Un TCP SYN flood semplicemente riempie i buffer di memoria disponibili mentre il server attende la restituzione di pacchetti ACK inesistenti. In questo attacco si consuma poca larghezza di banda e può abbattere un server con piccoli pool TCP, anche se avevano letteralmente una larghezza di banda illimitata, perché la larghezza di banda non è la fonte del collo di bottiglia, la memoria contenuta nelle connessioni in sospeso.

Puoi visualizzarlo come il centralino di un centralinista, dove molte delle chiamate sono solo persone che respirano nell'altra estremità della linea senza dire nulla di utile; i chiamanti legittimi devono attendere che l'operatore decida di riagganciare a tutte le chiamate di scherzo. Alla fine, non ci sono più linee telefoniche di riserva in modo che i chiamanti legittimi ricevano effettivamente un tono di occupato e devono riprovare più tardi.

Un attacco antepida usa anche una larghezza di banda molto ridotta, poiché gli script richiedono semplicemente nomi di sottodominio casuali del dominio di destinazione, costringendo il server DNS a trascorrere il tempo eseguendo ricerche ricorsive e interrogando ripetutamente i record DNS per le voci non nella sua cache . In questo caso, invece che la memoria è il collo di bottiglia, la CPU riempie quel ruolo eseguendo molto più lavoro di quanto non sia necessario per richieste legittime.

È possibile visualizzare questo tipo di attacco quando molte persone chiamano l'operatore al centralino, ognuna delle quali chiede di parlare a persone inesistenti. L'operatore deve prendere tempo inizialmente per cercare ogni richiesta prima di dire al chiamante che non c'è nessuno lì con quel nome, mentre i chiamanti che vogliono parlare con persone conosciute devono aspettare tutte le ricerche che l'operatore deve passare. Funziona meglio se si visualizza l'operatore con una rubrica enorme e devono trascorrere molto tempo a sfogliare le pagine per determinare se il nome esiste realmente.

L'esaurimento della larghezza di banda, a titolo di confronto, si verifica quando la rete si satura di dati che tentano di raggiungere il server. In questo caso, né la memoria del server né la potenza di elaborazione sono il collo di bottiglia, ma dipendono invece dalla rete che supera la capacità del 100% per un certo periodo di tempo. Il modo migliore per realizzare questo tipo di attacco è quello di inviare pacchetti veramente grandi davvero veloci, dal maggior numero possibile di posizioni.

Questo è più difficile da visualizzare, ma immagina molte chiamate di scherzi che arrivano contemporaneamente, e l'operatore al centralino deve aspettare che ogni persona finisca di dire quello che ha da dire prima di passare alla prossima chiamata. Ogni chiamata scherzosa è in realtà qualcuno che chiacchiera su tutta la loro storia di vita e storia familiare negli ultimi 50 anni, legando le linee per quel chiamante che vuole semplicemente essere trasferito. Non è un'analogia così perfetta come è per gli altri, però, perché in effetti ciò avviene effettivamente a monte dall'operatore. È fuori dal loro controllo.

    
risposta data 24.10.2016 - 20:04
fonte
1

Perché non disabilitare la ricerca?

Devi considerare quale sia l'obiettivo dell'attaccante qui negare agli utenti dei siti che utilizzano DNS di Dyn di risolvere i nomi. Se Dyn ha disabilitato la ricerca del sottodominio mentre si verifica un attacco, ciò avrebbe negato agli utenti legittimi di questi siti di essere in grado di risolvere anche questi nomi. Questo è esattamente ciò che voleva l'attaccante, obiettivo raggiunto per loro.

Ogni secondo che Dyn ha disabilitato il loro servizio, i loro clienti, i grandi siti che si affidano al loro servizio DNS è irraggiungibile e questi grandi siti stanno perdendo enormi quantità di denaro. Quando il cancello è chiuso, l'attaccante può semplicemente comporre l'attacco (riducendo i propri costi e rendendosi meno visibili e più difficili da bloccare) e attendere fino a che la Dyn si riapri e poi semplicemente rientri, risciacqua e ripeti. Per tutto il tempo i clienti legittimi non possono connettersi ai loro siti preferiti.

    
risposta data 24.10.2016 - 19:36
fonte
1

Questo è tutto speculativo:

Guardando gli eventi e i servizi forniti da questa azienda, sembra che questo sia stato molto mirato contro i pool DNS che cercano di ottimizzare il posizionamento geografico e la direzione del traffico. Il motivo per cui TCP viene utilizzato è a causa delle misurazioni RTT (imposta il bit di troncamento e il client invia la richiesta di tcp) e auth. Questo può darti approssimazioni al GEO e supportato dai tag geografici ISP e ASN.

Se si trattasse di sistemi basati su linux che forniscono backlog tcp syn, la regolazione potrebbe essere stata disattivata per il volume. A causa della quantità di BOT anche a basso volume (100 syns al secondo per bot) potrebbero esserci ~ 100million syns al secondo al picco se il CNC emette 100 syn al secondo. Inoltre, potrebbe esserci un effetto secondario associato allo spoofing se gli intervalli degli indirizzi di origine si concentrano sugli indirizzi IP associati a una regione geografica specifica come il costo est degli Stati Uniti.

Throttling, funziona ma ancora solo su scale specifiche. Quindi ti imbatti nel problema di Needle e haystack del traffico legit contro il traffico falsificato con la stessa fonte. Come ho detto sopra, il range del geo ip potrebbe essere stato preso di mira per lo spoofing tanto quanto il servizio stesso.

    
risposta data 24.10.2016 - 21:02
fonte

Leggi altre domande sui tag