Video: Реклама подобрана на основе следующей информации: (Tháng mười một 2024)
Dù ảnh hưởng đến Internet nói chung là gì, không ai phủ nhận rằng cuộc tấn công này, đạt tốc độ 300 Gbps, là cuộc tấn công DDoS lớn nhất từng được ghi nhận. Nhưng cuộc tấn công DDoS là gì và phòng thủ nào có sẵn?
Cách thức hoạt động của cuộc tấn công
Một cuộc tấn công từ chối dịch vụ chỉ đơn giản là làm quá tải các máy chủ của nạn nhân bằng cách làm ngập dữ liệu của họ, nhiều dữ liệu hơn các máy chủ có thể xử lý. Điều này có thể phá vỡ hoạt động kinh doanh của nạn nhân hoặc đánh sập trang web của họ ngoại tuyến. Phát động một cuộc tấn công như vậy từ một vị trí Web duy nhất là không hiệu quả, vì nạn nhân có thể nhanh chóng chặn lưu lượng truy cập đó. Những kẻ tấn công thường khởi động một cuộc tấn công từ chối dịch vụ phân tán thông qua hàng ngàn máy tính không may được điều khiển bởi botnet.
David Gibson, Phó Giám đốc Chiến lược của công ty bảo vệ dữ liệu toàn cầu Varonis, đã giải thích quy trình này bằng những thuật ngữ đơn giản. "Hãy tưởng tượng một số kẻ tấn công có thể giả mạo số điện thoại của bạn để số của bạn hiển thị trên điện thoại của người khác khi kẻ tấn công gọi, " anh nói. "Bây giờ hãy tưởng tượng kẻ tấn công gọi một nhóm người và cúp máy trước khi họ trả lời. Có lẽ bạn sẽ nhận được một loạt các cuộc gọi từ những người đó … Bây giờ hãy tưởng tượng hàng ngàn kẻ tấn công đang thực hiện điều này, bạn chắc chắn phải đổi điện thoại số. Với đủ số cuộc gọi, toàn bộ hệ thống điện thoại sẽ bị suy yếu. "
Phải mất thời gian và công sức để thiết lập một mạng botnet, hoặc tiền để thuê một cái. Thay vì gặp rắc rối đó, cuộc tấn công của CyberBunker đã tận dụng hệ thống DNS, một thành phần hoàn toàn thiết yếu của Internet ngày nay.
CyberBunker đã tìm thấy hàng chục ngàn máy chủ DNS dễ bị giả mạo địa chỉ IP, đó là gửi yêu cầu Web và giả mạo địa chỉ trả về. Một truy vấn nhỏ từ kẻ tấn công đã dẫn đến một phản hồi lớn gấp hàng trăm lần và tất cả những phản hồi lớn đó đều đánh vào máy chủ của nạn nhân. Mở rộng ví dụ của Gibson, cứ như thể mỗi cuộc gọi điện thoại của kẻ tấn công đã chuyển số của bạn sang những người tiếp thị qua điện thoại.
Những gì có thể được thực hiện?
Sẽ không hay nếu ai đó phát minh ra công nghệ để ngăn chặn các cuộc tấn công như vậy? Trong thực tế, họ đã có, mười ba năm trước. Vào tháng 5 năm 2000, Lực lượng đặc nhiệm Kỹ thuật Internet đã phát hành bài viết Thực hành tốt nhất hiện nay được gọi là BCP38. BCP38 xác định vấn đề và mô tả "một phương pháp đơn giản, hiệu quả và đơn giản … để cấm các cuộc tấn công DoS sử dụng địa chỉ IP giả mạo."
"80 phần trăm các nhà cung cấp internet đã thực hiện các khuyến nghị trong BCP38, " Gibson lưu ý. "Đó là 20 phần trăm còn lại vẫn chịu trách nhiệm cho phép lưu lượng truy cập giả mạo." Đặt vấn đề bằng những thuật ngữ đơn giản, Gibson nói, "Hãy tưởng tượng nếu 20 phần trăm người lái xe trên đường không tuân theo tín hiệu giao thông, thì nó sẽ không còn an toàn khi lái xe nữa."
Khóa nó lại
Các vấn đề bảo mật được mô tả ở đây xảy ra ở cấp độ, cách trên máy tính ở nhà hoặc doanh nghiệp của bạn. Bạn không phải là người có thể hoặc nên thực hiện một giải pháp; đó là một công việc cho bộ phận CNTT. Điều quan trọng, các nhân viên IT phải quản lý chính xác sự khác biệt giữa hai loại máy chủ DNS khác nhau. Corey Nachreiner, CISSP và Giám đốc Chiến lược bảo mật cho công ty bảo mật mạng WatchGuard, đã giải thích.
"Một máy chủ DNS có thẩm quyền là một máy chủ cho phần còn lại của thế giới biết về tên miền của công ty hoặc tổ chức của bạn, " Nachreiner nói. "Máy chủ có thẩm quyền của bạn nên có sẵn cho bất kỳ ai trên Internet, tuy nhiên, nó chỉ nên trả lời các truy vấn về tên miền của công ty bạn." Ngoài máy chủ DNS có thẩm quyền hướng ngoại, các công ty cần một máy chủ DNS đệ quy hướng vào trong. "Một máy chủ DNS đệ quy nhằm cung cấp tra cứu tên miền cho tất cả nhân viên của bạn, " Nachreiner giải thích. "Nó có thể trả lời các truy vấn về tất cả các trang web trên Internet, nhưng nó chỉ nên trả lời cho mọi người trong tổ chức của bạn."
Vấn đề là, nhiều máy chủ DNS đệ quy không giới hạn chính xác các phản hồi cho mạng nội bộ. Để thực hiện một cuộc tấn công phản chiếu DNS, kẻ xấu chỉ cần tìm một loạt các máy chủ được cấu hình không chính xác. "Trong khi các doanh nghiệp cần máy chủ DNS đệ quy cho nhân viên của mình", Nachreiner kết luận, "họ KHÔNG NÊN mở các máy chủ này để yêu cầu từ bất kỳ ai trên Internet."
Rob Kraus, Giám đốc Nghiên cứu của Nhóm Nghiên cứu Kỹ thuật Giải pháp (SERT), đã chỉ ra rằng "biết kiến trúc DNS của bạn thực sự trông như thế nào từ bên trong cũng như bên ngoài có thể giúp xác định các lỗ hổng trong việc triển khai DNS của tổ chức của bạn." Ông khuyên đảm bảo rằng tất cả các máy chủ DNS được vá đầy đủ và bảo mật cho thông số kỹ thuật. Để chắc chắn rằng bạn đã làm đúng, Kraus gợi ý "sử dụng các bài tập hack đạo đức giúp phát hiện ra các cấu hình sai."
Đúng, có nhiều cách khác để khởi chạy các cuộc tấn công DDoS, nhưng phản xạ DNS đặc biệt hiệu quả vì hiệu ứng khuếch đại, trong đó một lượng nhỏ lưu lượng truy cập từ kẻ tấn công tạo ra một lượng lớn đi vào nạn nhân. Việc tắt đại lộ đặc biệt này ít nhất sẽ buộc tội phạm mạng phát minh ra một kiểu tấn công mới. Đó là sự tiến bộ, thuộc loại.