Киберпреступники осваивают новую разновидность DDoS-атак

image

Теги: DDoS, провайдер, новость

Нью-йоркский провайдер ISPrime подвергся распределённой DoS-атаке нового вида, получившей название DNS Amplification («DNS-усиление»). Атака, как выяснилось, была заказана владельцами порносайта, которые хотели задавить конкурента, хостившегося на ISPrime.

Во второй половине января провайдер ISPrime подвергся распределённой DoS-атаке нового вида, получившей название DNS Amplification («DNS-усиление»). Атака, как выяснилось, была заказана владельцами порносайта, которые хотели задавить конкурента, хостившегося на ISPrime.Через день атака повторилась и продлилась в течение трёх суток.

Как заявил Фил Розенталь (Phil Rosenthal), технический директор ISPrime, всего 2’000 компьютеров-«зомби» смогли полностью наводнить своими фальшивыми пакетами сеть ISPrime, используя для этого 750'000 вполне легитимных серверов DNS по всему миру.

Алгоритм атаки DNS Amplification отличается изощренностью. Используя недавно найденную уязвимость во многих серверах DNS, компьютер по команде злоумышленника может отправить на официальный DNS-сервер небольшой пакет размером, скажем, в 17 байт. В ответ DNS-сервер отправляет пакет размером уже около 500 байт. Подменяя адрес источника своего пакета, злоумышленник может направить огромный поток никому не нужных данных на любой выбранный адрес в сети свой жертвы.

Причем новой атаке жертве нечего противопоставить. Защититься от нее можно только вместе с провайдерами. Если владельцы DNS-серверов не устранят уязвимость в своей системе, то их клиенты останутся беззащитными перед лицом таких мощных и разрушительных атак.

Киберпреступники, сдающие в аренду свои ботнеты, уже предлагают услуги по атаке сайтов, причем продают эти услуги по принципу аукциона – кто больше заплатит. За использование алгоритма DNS Amplification ботнетчики требуют оплату, как за дополнительную услугу. Эксперты из компании SecureWorks, расследующие инцидент, считают, что в случае с компанией ISPrime использовалась именно такая сеть компьютеров-«зомби». Оператор конкурирующего сайта заказал атаку у владельцев одного из ботнетов.

Универсального лекарства от атаки DNS Amplification пока не существует. Тем не менее, организация DNS-OARC (Operations Analysis and Research Center) уже выпустила рекомендации по защите серверов на платформе BIND DNS от использования в таких атаках. Компания Microsoft пока не опубликовала указаний, как избежать подобных атак в ее продуктах, однако общие рекомендации по развертыванию защищенных DNS-серверов на базе продуктов Microsoft можно найти, например, на сайте technet.microsoft.com.


или введите имя

CAPTCHA
Страницы: 1  2  
фетиш-мастер [Малиновые штаны]
06-02-2009 16:48:30
Компания Microsoft пока не опубликовала указаний, как избежать подобных атак в ее продуктах...c ибаша: Вот лучшая презентация которую я нашел в "пользу" продуктов MS: # nslookup -q=mx microsoft.com microsoft.com mail exchanger = 10 mail.global.frontbridge.com. # telnet mail.global.frontbridge.com 25 220 mail34-wa4.bigfish.com ESMTP Postfix EGGS and Butter .. Покупайте наших слонов!
0 |
wtf?!
06-02-2009 17:12:36
А разве postfix бывает не только для UNIX???
0 |
66674
06-02-2009 17:20:54
как раз в этом фишка) зы капча зач0д 66674
0 |
wft?!
06-02-2009 17:32:57
Ах вот они какие макросятные шкуры, вот она их истинная личина! Своей поделке почту не доверяют. А ведь говорили же, что свободное бесплатное ПО это вирусы и трояны!
0 |
*
06-02-2009 18:45:54
фишка в том что это переферийный почтовик
0 |
*
06-02-2009 18:47:10
сорри. Пятница, конец раб дня, туплю. периметральный конечно же, а не переферийный.
0 |
08-02-2009 21:11:27
Сходи русский подучи что-ли
0 |
37456
09-02-2009 10:16:14
троль-логопед детектед
0 |
37286
06-02-2009 17:13:26
Каких там серверов в ТОП-500 больше всего, не на Линупсе?
0 |
desu
06-02-2009 23:32:26
Не серверов, а вычислительных мэйнфреймов.
0 |
Sunny
06-02-2009 18:12:56
"Компания Microsoft пока не опубликовала указаний, как избежать подобных атак в ее продуктах, однако общие рекомендации по развертыванию защищенных DNS-серверов на базе продуктов Microsoft можно найти, например, на сайте ..." Это заказная рекламная статья НекроСофт ???
0 |
blablabla
06-02-2009 18:31:54
20:30:29.741079 IP 89.149.221.182.15491 > xx.xx.xx.xx.53: 51205+ NS? . (17) 20:30:29.741418 IP xx.xx.xx.xx.53 > 89.149.221.182.15491: 51205 Refused- 0/0/0 (17) use secure bind Luke
0 |
Lin
09-02-2009 05:20:17
У меня тоже были атаки с этого же адреса: Feb 9 09:09:47 lin kernel: IN=ethx OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=89.149.221.182 DST=myip.myip.myip.myip LEN=45 TOS=0x00 PREC=0x00 TTL=52 ID=11892 PROTO=UDP SPT=6838 DPT=53 LEN=25 Долбали бесконечно и днем и ночью. Даже то что bind пропатченный все равно как-то обломно было что на меня кто-то льет левый траф. Сначала по IP их резал. Но бесполезно - новые IP начинают использовать уже через несколько часов. Нашел как можно их начисто убрать Через mod iptables recent и string Добавляем следующие правила: -A INPUT --protocol udp --dport domain --match state --state NEW --match string --algo kmp --hex-string "|00 00 02 00 01|" --from 36 --match recent --name ATTACK --update --seconds 600 --jump DROP -A INPUT --protocol udp --dport domain --match state --state NEW --match string --algo kmp --hex-string "|00 00 02 00 01|" --from 36 --match recent --name ATTACK --set --jump ACCEPT Это достаточно лояльное правило. т.к. разрешает подобные запросы только раз в 600 секунд с одного адреса. можно было бы в принципе сразу DROP делать без использования recent, но я не стал, т.к. боюсь легальных юзеров отрезать В тексте --hex-string "|00 00 02 00 01|" --from 36 - это признак запросов dns с содержимым /IN/NS. С 36 байта в пакете DNS начинается текст запроса, если этот текст выглядит как /IN/NS то он попадет под это правило. Таким образом можно заставить bind вообще не отвечать на запросы атакующего даже как REFUSED.
0 |
Bill Routers
07-02-2009 01:17:32
Фуфло. Подменить адрес отправителя в UDP - можно, но пропустит ли провайдер в Internet пакет, с адресом возврата, отличным от того, что он выдал клиенту?! Да и через роутер не пройдет. A если адрес зомби из частного диапазона, воще тухляк.
0 |
07-02-2009 08:33:31
В интернет - хз.
0 |
0per
07-02-2009 15:31:51
чаще всего проходит - какому провайдеру охота тратить мощности маршрутизатора(файервола) на фильтрацию.
0 |
16-11-2013 23:07:04
А только мелкие имхо и должны фильтровать. Максимум те, к которым они подключены. Два транзитных оператора не могут фильтровать трафик друг от друга иначе будет лажа. Другое дело что не все мелкие это понимают. Ресурсов не так много требуется.
0 |
SMakc
09-02-2009 11:56:57
в 95% пакет уйдет без проблем, только совсем мелкие провайдеры заморашиваются source фильтрацией.
0 |
xpeh
07-02-2009 08:37:42
Во второй половине января провайдер ISPrime подвергся распределённой DoS-атаке [B]нового вида[B], получившей название DNS Amplification («DNS-усиление»).Она точно нового вида? Не вижу ху.йцов, которыми засыпают автора статьи.
0 |
Страницы: 1  2