Vídeo: Реклама подобрана на основе следующей информации: (Novembro 2024)
Qualquer que seja o efeito na Internet em geral, ninguém nega que esse ataque, com um pico de 300 Gbps, foi o maior ataque DDoS já registrado. Mas o que é um ataque DDoS e quais defesas estão disponíveis?
Como o ataque funcionou
Um ataque de negação de serviço simplesmente sobrecarrega os servidores da vítima, inundando-os com dados, mais dados do que os servidores podem suportar. Isso pode atrapalhar os negócios da vítima ou deixar o site offline. Iniciar um ataque desse tipo em um único local da Web é ineficaz, pois a vítima pode bloquear rapidamente esse tráfego. Os invasores geralmente iniciam um ataque de negação de serviço distribuído por meio de milhares de computadores infelizes controlados por uma rede de bots.
David Gibson, vice-presidente de estratégia da empresa global de proteção de dados Varonis, explicou o processo em termos simples. "Imagine que algum invasor possa falsificar seu número de telefone para que ele apareça nos telefones de outras pessoas quando o atacante ligar", disse ele. "Agora imagine que o invasor liga para várias pessoas e desliga antes que elas atendam. Você provavelmente receberá um monte de chamadas dessas pessoas… Agora imagine milhares de invasores fazendo isso - você certamente teria que mudar seu telefone Com chamadas suficientes, todo o sistema telefônico seria prejudicado ".
Leva tempo e esforço para configurar uma botnet ou dinheiro para alugar uma. Em vez de enfrentar esse problema, o ataque do CyberBunker aproveitou o sistema DNS, um componente absolutamente essencial da Internet atual.
O CyberBunker localizou dezenas de milhares de servidores DNS vulneráveis à falsificação de endereços IP - ou seja, enviando uma solicitação da Web e falsificando o endereço de retorno. Uma pequena consulta do invasor resultou em uma resposta centenas de vezes maior e todas essas grandes respostas atingiram os servidores da vítima. Estendendo o exemplo de Gibson, é como se cada uma das ligações do atacante entregasse seu número a operadores de telemarketing raivosos.
O que pode ser feito?
Não seria bom se alguém inventasse tecnologia para impedir esses ataques? Na verdade, eles já o fizeram, treze anos atrás. Em maio de 2000, a Internet Engineering Task Force lançou o documento de Melhores Práticas Atuais conhecido como BCP38. O BCP38 define o problema e descreve "um método simples, eficaz e direto… para proibir ataques de negação de serviço que usem endereços IP forjados".
"80% dos provedores de internet já implementaram as recomendações no BCP38", observou Gibson. "São os 20% restantes que permanecem responsáveis por permitir o tráfego falsificado". Colocando o problema em termos simples, Gibson disse: "Imagine se 20% dos motoristas na estrada não obedecessem aos sinais de trânsito - não seria mais seguro dirigir".
Lock It Down
Os problemas de segurança descritos aqui acontecem de maneira nivelada, muito acima do seu computador doméstico ou comercial. Você não é quem pode ou deve implementar uma solução; isso é um trabalho para o departamento de TI. É importante ressaltar que os profissionais de TI precisam gerenciar corretamente a distinção entre dois tipos diferentes de servidores DNS. Corey Nachreiner, CISSP e diretor de estratégia de segurança da empresa de segurança de rede WatchGuard, explicou.
"Um servidor DNS autoritário é aquele que informa ao resto do mundo sobre o domínio da sua empresa ou organização", disse Nachreiner. "Seu servidor oficial deve estar disponível para qualquer pessoa na Internet; no entanto, ele deve responder apenas a perguntas sobre o domínio da sua empresa." Além do servidor DNS autoritativo voltado para o exterior, as empresas precisam de um servidor DNS recursivo voltado para o interior. "Um servidor DNS recursivo se destina a fornecer pesquisas de domínio a todos os seus funcionários", explicou Nachreiner. "Ele deve ser capaz de responder a perguntas sobre todos os sites na Internet, mas deve responder apenas às pessoas da sua organização."
O problema é que muitos servidores DNS recursivos não limitam corretamente as respostas à rede interna. Para realizar um ataque de reflexão do DNS, os bandidos só precisam encontrar vários desses servidores configurados incorretamente. "Embora as empresas precisem de servidores DNS recursivos para seus funcionários", concluiu Nachreiner, "elas NÃO DEVEM abrir esses servidores a solicitações de qualquer pessoa na Internet".
Rob Kraus, diretor de pesquisa da equipe de pesquisa de engenharia da Solutionary (SERT), destacou que "saber como sua arquitetura DNS realmente se parece tanto por dentro quanto por fora pode ajudar a identificar lacunas na implantação do DNS da organização". Ele aconselhou a garantir que todos os servidores DNS sejam totalmente corrigidos e protegidos conforme as especificações. Para garantir que você fez o que é certo, Kraus sugere que "o uso de exercícios éticos de hackers ajuda a descobrir configurações incorretas".
Sim, existem outras maneiras de iniciar ataques DDoS, mas a reflexão do DNS é especialmente eficaz por causa do efeito de amplificação, onde uma pequena quantidade de tráfego do invasor gera uma grande quantidade de entrada na vítima. Desligar essa avenida em particular forçará pelo menos os cibercriminosos a inventar um novo tipo de ataque. Isso é progresso, de certa forma.