Napadači pokreću više vektorskih DDoS napada koji koriste DNSSEC pojačanje

DDoS napadi postaju sve sofisticirani, kombinirajući više tehnika napadanja koje zahtijevaju različite strategije ublažavanja i zlouporabe novih protokola.

Akamai-ovi koji su reagirali na incidente nedavno su pomogli ublažavanju DDoS napad na neimenovanu europsku medijsku organizaciju koja je dostigla vrhunac na 363G bps (bita u sekundi) i 57 milijuna paketa u sekundi.

Iako je veličina bila impresivna i daleko iznad onoga što bi se sama organizacija mogla boriti samostalno, napad je također izdvaja jer kombinira šest različitih tehnika ili vektora: DNS refleksije, SYN poplava, UDP fragment, PUSH poplava, TCP poplava, i UDP poplava.

[

] Gotovo 60 posto svih DDoS napada zabilježenih tijekom prvog kvartala ove godine bilo je više vektorskih napada, izjavio je Akamai u objavljenom izvješću prošli mjesec. Većina njih koristila je dva vektora, a samo 2 posto koristilo je pet ili više tehnika.

Tehnika refleksije DNS (Domain Name System) upotrijebljena u ovom velikom napadu također je bila zanimljiva, jer su napadači zloupotrijebili DNSSEC-omogućene domene kako bi generirali veći odgovori.

DNS refleksija uključuje zlouporabu pogrešno konfiguriranih DNS resolvera koji reagiraju na spoofirane zahtjeve. Napadači mogu poslati DNS upite na te poslužitelje na Internetu navodeći adresu internetskog protokola (IP) cilja kao izvornu adresu zahtjeva. To uzrokuje da poslužitelj usmjerava svoj odgovor na žrtvu umjesto stvarnog izvora DNS upita.

Ovo razmišljanje vrijedno je za napadače jer krije pravi izvor zlonamjernog prometa i jer može imati učinak pojačanja: odgovori poslanih žrtvi DNS poslužiteljima veći su od upita koji su ih pokrenuli i omogućuju napadačima generiranje više prometa nego što bi inače mogli.

Upotreba upita za nazive domena konfiguriranih za DNSSEC (Extended Domain Name System Extension) samo dodaje faktor pojačanja, jer su DNSSEC odgovori čak i veći od redovitih. To je zato što imaju dodatne podatke koji se koriste za kriptografsku provjeru.

DNSSEC omogućuje klijentima autentičnost izvora podataka DNS-a kao i integritet podataka, osiguravajući da se DNS odgovori ne mijenjaju na putu i da ih pružaju mjerodavni poslužitelji za zadana imena domena. "Tijekom posljednjih nekoliko četvrtina, Akamai je promatrao i ublažio mnoge DNS refleksije i pojačavanje DDoS napada koji zlostavljaju DNSSEC-konfigurirane domene", rekli su istraživači Akamai u savjetu objavljenom u utorak.

The tvrtka je primijetila isti DNSSEC-konfiguriran naziv domene koji je zloupotrijebljen u DDoS pojačanju napada na ciljeve u različitim industrijama.

Zasebni Akamai savjetodavni objavljeni u utorak opisuje nekoliko DDoS kampanja ove godine protiv mreže Massachusetts Institute of Technology. Jedan od tih napada dogodio se u travnju i upotrijebio DNS refleksiju pokrećući odgovore za cpsc.gov i isc.org, dva DNSSEC-ov imena domena.

"Sami vlasnici domena nisu krivi i ne osjećaju učinke ovih napada ", rekli su istraživači Akamai. "Napadači zlostavljaju otvorene rezolucije šaljući buku prevariranog DNS upita gdje je IP izvor postavljen kao MIT ciljna IP adresa. Većina tih poslužitelja cache će početni odgovor tako da više upita ne bude na mjerodavnim poslužiteljima imena."

Nažalost, DNS nije jedini protokol koji se može koristiti za DDoS pojačanje. NTP, CHARGEN i SSDP protokoli se također obično koriste u takvim napadima i, nažalost, sve dok su pogrešno konfigurirani poslužitelji i uređaji dostupni na Internetu, ova tehnika će i dalje biti favorizirana od napadača.