Angreifer starten Multi-Vektor-DDoS-Attacken, die DNSSEC-Amplifikation verwenden

DDoS-Attacken werden immer raffinierter, mehrere Angriffstechniken kombiniert, die unterschiedliche Minderungsstrategien erfordern, und neue Protokolle zu missbrauchen.

Vorfalls Responder von Akamai vor kurzem eine DDoS-Attacke gegen eine ungenannte europäische Medienorganisation mildern half, die ihren Höhepunkt erreicht bei 363g bps (Bits pro Sekunde) und 57 Millionen Pakete pro Sekunde.

Während die Größe selbst über beeindruckend und Weise war, was eine einzige Organisation auf ihrer eigenen bekämpfen konnte, stand der Angriff auch, weil es in Kombination sechs verschiedene Techniken oder Vektoren. DNS Reflexion, SYN-flood, UDP-Fragment, PUSH Flut, TCP Flut und UDP Flut

Nun beobachten

  • Fixing Windows-10 Datenschutzprobleme (3,17) li>
  • der beste Weg, auf Malware zu überprüfen li>

Fast 60 Prozent aller DDoS im ersten Quartal dieses Jahres waren Multi-Vektor-Angriffe beobachtet Angriffe, sagte Akamai in einem Bericht zuletzt veröffentlicht Monat. Die meisten von ihnen verwendet zwei Vektoren und nur 2 Prozent verwendet fünf oder mehr Techniken.

Der DNS (Domain Name System) Reflexionstechnik in diesem großen Angriff verwendet auch interessant war, weil Angreifer missbraucht DNSSEC-fähigen Domains um größere Reaktionen zu erzeugen.

DNS Reflexion beinhaltet falsch konfigurierte DNS-Resolver zu missbrauchen, die auf gefälschte Anfragen zu reagieren. Angreifer können durch die Angabe des Ziels Internet Protocol (IP) Adresse als die Anforderung des Quelladresse DNS-Anfragen an diese Server über das Internet zu senden. Dies bewirkt, dass der Server seine Antwort auf das Opfer anstelle des echten Quelle der DNS-Abfrage zu lenken.

Diese Reflexion für Angreifer wertvoll ist, weil es die wahre Quelle des schädlichen Datenverkehr versteckt und weil es eine haben Verstärkungseffekt: die Antworten auf die Opfer von DNS-Servern sind größer als die Abfragen gesendet, die sie ausgelöst, sodass Angreifer mehr Traffic zu generieren, als sie es sonst könnte

Jetzt ansehen

  • Wie sie Windows eingeben. 10 Safe Mode (01.35) li>
  • Winging es mit den Chroma-und Libellen-Drohnen li>

Die Verwendung von Abfragen für Domain-Namen konfiguriert für Domain Name System Security Extension (DNSSEC ) nur noch auf dem Verstärkungsfaktor, wie DNSSEC Antworten sogar größer als Stammkunden sind. Das ist, weil sie für die verschlüsselte Verifizierung verwendet, um zusätzliche Daten.

DNSSEC erlaubt es den Kunden, die Quelle von DNS-Daten zur Authentifizierung sowie die Integrität der Daten, dass die DNS-Antworten haben sicherzustellen, nicht auf dem Weg verändert worden und wurden zur Verfügung gestellt von den autoritativen Server für die abgefragte Domain-Namen.

„in den vergangenen Quartalen hat Akamai beobachtet und gemildert viele DNS-Reflexion und Verstärkung von DDoS-Attacken, die DNSSEC-konfigurierten Domänen missbrauchen“, die Akamai-Forscher sagte in einem Beratungs am dienstag veröffentlicht.

das Unternehmen in verschiedenen Branchen in DDoS Verstärkung Angriffe gegen Ziele missbraucht die gleiche DNSSEC-konfigurierten Domänennamen zu werden.

Eine separate Akamai Advisory veröffentlicht am dienstag beschreibt mehrere DDoS beobachtet Kampagnen in diesem Jahr gegen das Netzwerk des Massachusetts Institute of Technology. Einer dieser Angriffe aufgetreten im April und verwendet DNS Reflexion von Antworten für cpsc.gov und isc.org, zwei DNSSEC-fähigen Domain-Namen.

„Die Domain-Inhaber selbst sind nicht bei Störung auszulösen und nicht spüren die Auswirkungen dieser Angriffe „, die Akamai-Forscher sagte. „Angreifer missbrauchen offene Resolvern durch eine Flut von gefälschten DNS-Abfragen zu senden, wo die IP-Quelle eingestellt ist die MIT Ziel-IP zu sein. Die meisten dieser Server die erste Reaktion so mehrere Abfragen zwischenzuspeichern sind nicht auf die maßgeblichen Nameservern gemacht.“

Leider ist DNS nicht das einzige Protokoll, das für DDoS-Amplifikation verwendet werden können. Die NTP, CHARGEN und SSDP-Protokolle werden auch in solchen Angriffen häufig verwendet und leider solange falsch konfigurierte Server und Geräte im Internet verfügbar sind, wird diese Technik durch Angreifer begünstigt werden fortgesetzt werden.

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.