Dalam beberapa bulan terakhir, dunia DDoS telah bergeser dari serangan botnet skala kecil kompleks untuk jaringan DDoS serangan berbasis jauh lebih besar, sebagian besar dilakukan untuk pembajakan server web.
Berapa banyak dari server dibajak. Namun, Incapsula baru-baru punya ide yang sangat baik hanya berapa besar meriam DDoS didapatkannya. Terakhir Sabtu Incapsula dikurangi agak kecil, serangan DDoS 4Gbps, tapi kali ini memiliki pola yang berbeda yang menarik perhatian kita.
Pada pandangan pertama serangan tampak agak sederhana, menghasilkan 8 juta DNS query per detik, untuk banyak domain, dari alamat IP palsu (menggunakan domain server nama asli 'IP). Tapi kali ini termasuk petunjuk tentang di mana itu berasal dari: semua lalu lintas itu berasal dari sumber yang sama. Mungkin pada jaringan yang sama, bahkan mungkin perangkat yang sama.
Menelusuri ke Sumber tunggal - TTL Giveaway :
Incapsula mampu melacak serangan ke sumber tunggal karena saat ini para penyerang tergelincir-up dan tidak mengacak permintaan TTLs, membuat semua lalu lintas datang dengan IP yang sama TTL.
Parameter TTL merupakan bagian dari Internet Protocol. Ini bidang yang menetapkan berapa banyak router paket yang diijinkan lewat sebelum berakhir. Setiap router sepanjang jalan decrements meja, sampai habis masa berlakunya (banyak alat diagnostik, seperti traceroute menggunakan atribut ini). Tentu saja, seperti banyak bidang lain, nilainya bisa palsu dan acak, tetapi hampir mustahil untuk membuat jutaan paket dari berbagai sumber memiliki TTL yang sama ketika mereka mencapai tujuan mereka dan ini adalah apa yang dilihat Gur Shatz, Incapsula CEO dan Co -Pendiri.
Apakah daftar nama Resmi Servers berikutnya pada eksploitasi?
Titik lain yang menarik Incapsula melihat, adalah bahwa alamat palsu milik server DNS, tapi tidak semua yang terbuka DNS resolvers. Bahkan, banyak dari IP ini adalah authoritative name server.
Alasan untuk pemilihan non-acak IP adalah untuk menghindari mekanisme daftar hitam. Tapi itu berarti bahwa hacker juga mengumpulkan informasi tentang server nama otoritatif. Menggunakan serangan refleksi adalah sedikit lebih rumit (itu berarti membangun database domain dengan tanggapan DNS besar), dengan faktor amplifikasi jauh lebih kecil, tetapi mereka jauh lebih sulit untuk mengunci daripada buka DNS resolvers.
Jadi ... apa artinya ini?
Ini berarti bahwa taruhannya baru saja lebih tinggi. Sekadar perbandingan, pada tingkat serangan ini, jika telah menggunakan DNS amplifikasi, dengan faktor amplifikasi rata-rata 50 - itu akan menghasilkan 200 + Gbps serangan DDoS, semua dari satu sumber / komputer!
Apa yang kita ketahui tentang sumber ini?
Ini adalah salah satu perangkat keras kustom, atau sekelompok mesin berbagi jaringan yang sama. Ini adalah (hampir) tidak mungkin untuk sebuah mesin tunggal untuk menghasilkan jenis lalu lintas.
Ini bisa memanfaatkan 4Gbps bandwidth hulu, tanpa ada yang memperhatikan.
Hari-hari itu tidak mengambil botnet untuk memulai serangan DDoS besar. Ia bahkan tidak mengambil ratusan server, dari beberapa penyedia hosting. Itu jenis senjata besar dapat diperoleh dari DDoS Cannon tunggal, dari satu lokasi dan bahkan mungkin satu server tunggal....
0komentar:
Post a Comment