Новости Киберпреступники осваивают новую разновидность DDoS-атак
Нью-йоркский провайдер ISPrime подвергся распределённой DoS-атаке нового вида, получившей название DNS Amplification («DNS-усиление»). Атака, как выяснилось, была заказана владельцами порносайта, которые хотели задавить конкурента, хостившегося на ISPrime.
Во второй половине января провайдер ISPrime подвергся распределённой DoS-атаке нового вида, получившей название DNS Amplification («DNS-усиление»). Атака, как выяснилось, была заказана владельцами порносайта, которые хотели задавить конкурента, хостившегося на ISPrime.Через день атака повторилась и продлилась в течение трёх суток.Как заявил Фил Розенталь (Phil Rosenthal), технический директор ISPrime, всего 2’000 компьютеров-«зомби» смогли полностью наводнить своими фальшивыми пакетами сеть ISPrime, используя для этого 750'000 вполне легитимных серверов DNS по всему миру.
Алгоритм атаки DNS Amplification отличается изощренностью. Используя недавно найденную уязвимость во многих серверах DNS, компьютер по команде злоумышленника может отправить на официальный DNS-сервер небольшой пакет размером, скажем, в 17 байт. В ответ DNS-сервер отправляет пакет размером уже около 500 байт. Подменяя адрес источника своего пакета, злоумышленник может направить огромный поток никому не нужных данных на любой выбранный адрес в сети свой жертвы.
Причем новой атаке жертве нечего противопоставить. Защититься от нее можно только вместе с провайдерами. Если владельцы DNS-серверов не устранят уязвимость в своей системе, то их клиенты останутся беззащитными перед лицом таких мощных и разрушительных атак.
Киберпреступники, сдающие в аренду свои ботнеты, уже предлагают услуги по атаке сайтов, причем продают эти услуги по принципу аукциона – кто больше заплатит. За использование алгоритма DNS Amplification ботнетчики требуют оплату, как за дополнительную услугу. Эксперты из компании SecureWorks, расследующие инцидент, считают, что в случае с компанией ISPrime использовалась именно такая сеть компьютеров-«зомби». Оператор конкурирующего сайта заказал атаку у владельцев одного из ботнетов.
Универсального лекарства от атаки DNS Amplification пока не существует. Тем не менее, организация DNS-OARC (Operations Analysis and Research Center) уже выпустила рекомендации по защите серверов на платформе BIND DNS от использования в таких атаках. Компания Microsoft пока не опубликовала указаний, как избежать подобных атак в ее продуктах, однако общие рекомендации по развертыванию защищенных DNS-серверов на базе продуктов Microsoft можно найти, например, на сайте technet.microsoft.com.
(Голосов: 3, Рейтинг: 3.48) |
| Дома из бруса Дома из бруса. ООО ТриСтроителя: только у нас дома из бруса различных типов. sdbgp.ru |
| Компания Microsoft пока не опубликовала указаний, как избежать подобных атак в ее продуктах... |
c ибаша:
| Вот лучшая презентация которую я нашел в "пользу" продуктов MS:
# nslookup -q=mx microsoft.com microsoft.com mail exchanger = 10 mail.global.frontbridge.com. # telnet mail.global.frontbridge.com 25 220 mail34-wa4.bigfish.com ESMTP Postfix EGGS and Butter .. Покупайте наших слонов! |
зы капча зач0д 66674
Пятница, конец раб дня, туплю.
периметральный конечно же, а не переферийный.
Это заказная рекламная статья НекроСофт ???
20:30:29.741418 IP xx.xx.xx.xx.53 > 89.149.221.182.15491: 51205 Refused- 0/0/0 (17)
use secure bind Luke
Feb 9 09:09:47 lin kernel: IN=ethx OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=89.149.221.182 DST=myip.myip.myip.myip LEN=45 TOS=0x00 PREC=0x00 TTL=52 ID=11892 PROTO=UDP SPT=6838 DPT=53 LEN=25
Долбали бесконечно и днем и ночью. Даже то что bind пропатченный все равно как-то обломно было что на меня кто-то льет левый траф. Сначала по IP их резал. Но бесполезно - новые IP начинают использовать уже через несколько часов. Нашел как можно их начисто убрать
Через mod iptables recent и string
Добавляем следующие правила:
-A INPUT --protocol udp --dport domain --match state --state NEW --match string --algo kmp --hex-string "|00 00 02 00 01|" --from 36 --match recent --name ATTACK --update --seconds 600 --jump DROP
-A INPUT --protocol udp --dport domain --match state --state NEW --match string --algo kmp --hex-string "|00 00 02 00 01|" --from 36 --match recent --name ATTACK --set --jump ACCEPT
Это достаточно лояльное правило. т.к. разрешает подобные запросы только раз в 600 секунд с одного адреса. можно было бы в принципе сразу DROP делать без использования recent, но я не стал, т.к. боюсь легальных юзеров отрезать
В тексте --hex-string "|00 00 02 00 01|" --from 36 - это признак запросов dns с содержимым /IN/NS. С 36 байта в пакете DNS начинается текст запроса, если этот текст выглядит как /IN/NS то он попадет под это правило. Таким образом можно заставить bind вообще не отвечать на запросы атакующего даже как REFUSED.
но пропустит ли провайдер в Internet пакет, с адресом возврата, отличным от того, что он выдал клиенту?!
Да и через роутер не пройдет. A если адрес зомби из частного диапазона, воще тухляк.
| Во второй половине января провайдер ISPrime подвергся распределённой DoS-атаке [B]нового вида[B], получившей название DNS Amplification («DNS-усиление»). |
Она точно нового вида? Не вижу ху.йцов, которыми засыпают автора статьи.
в россии была популиризована еще товарищем под ником ЗВЕРь.
другие варианты атаки -в паблик так и не просочились.
Блоги
. Как многие, наверное, знают, 3 ноября 2011 г. вступил в силу Федеральный з ...
TOP Новости 
Уязвимости 07 февраля, 2012
06 февраля, 2012
03 февраля, 2012
01 февраля, 2012
Подписка
Вирусы