וִידֵאוֹ: PCH's Bill Woodcock explains the DDOS attack on Spamhaus (נוֹבֶמבֶּר 2024)
לא משנה מה ההשפעה על האינטרנט, אף אחד לא מכחיש שההתקפה הזו, שהגיעה לשיא של 300 ג'יגה-ביט לשנייה, הייתה התקפת DDoS הגדולה ביותר שנרשמה אי פעם. אבל מה בדיוק מתקפת DDoS, ואילו הגנות זמינות?
כיצד עבדה ההתקפה
התקפת מניעת שירות פשוט מעמיסה על שרתי הקורבן על ידי הצפתם בנתונים, יותר נתונים ממה שהשרתים יכולים לטפל בהם. זה יכול לשבש את עסק הקורבן, או להכות את האתר שלו במצב לא מקוון. הפעלת מתקפה כזו ממיקום אינטרנט יחיד אינה יעילה, מכיוון שהקורבן יכול לחסום במהירות את התנועה הזו. תוקפים משיקים לא פעם מתקפת מניעת שירות מבוזרת באמצעות אלפי מחשבים חסרי אונים הנשלטים על ידי בוטנט.
דיוויד גיבסון, סמנכ"ל אסטרטגיה של חברת Varonis העולמית להגנת נתונים, הסביר את התהליך במילים פשוטות. "תאר לעצמך שתוקף כלשהו יכול לזייף את מספר הטלפון שלך כך שהמספר שלך יופיע בטלפונים של אנשים אחרים כאשר התוקף מתקשר, " אמר. "עכשיו דמיין שהתוקף מתקשר לחבורה של אנשים ומתנתק לפני שהם עונים. כנראה שתקבל חבורה של שיחות מהאנשים האלה… עכשיו דמיין שאלפי תוקפים עושים את זה - אתה בוודאי תצטרך להחליף את הטלפון שלך מספר. עם מספיק שיחות, כל מערכת הטלפון תיפגע."
לוקח זמן ומאמץ כדי להקים botnet, או כסף לשכור אחד. במקום לעבור לצרה זו, ההתקפה של CyberBunker ניצלה את מערכת ה- DNS, מרכיב חיוני לחלוטין באינטרנט של ימינו.
CyberBunker איתר עשרות אלפי שרתי DNS שהיו חשופים לזיוף כתובות IP - כלומר, שליחת בקשת אינטרנט וזיוף כתובת החזרה. שאילתה קטנה מהתוקף הביאה לתגובה גדולה פי מאות, וכל התגובות הגדולות הללו פגעו בשרתי הקורבן. בהרחבת הדוגמא של גיבסון, נראה כאילו כל אחת משיחות הטלפון של התוקף העבירה את המספר שלך לטלמרקטינג כלבי.
מה אפשר לעשות?
האם לא יהיה נחמד אם מישהו ימציא טכנולוגיה שתסכל התקפות כאלה? למען האמת, כבר לפני שלוש עשרה שנה. במאי 2000 הוציא כוח המשימה להנדסת אינטרנט את העיתון הטוב ביותר לשיטות עבודה שוטפות המכונה BCP38. BCP38 מגדיר את הבעיה ומתאר "שיטה פשוטה, יעילה וישירה… לאסור התקפות DoS המשתמשות בכתובות IP מזויפות."
"80 אחוז מספקי האינטרנט כבר יישמו את ההמלצות ב- BCP38", ציין גיבסון. "20 האחוזים הנותרים הם שנותרו אחראיים לאפשר תנועה מזויפת." גיבסון אמר את הבעיה במילים פשוטות, "תאר לעצמך שאם 20 אחוז מהנהגים בכביש לא היו מצייתים לאותות תנועה - זה כבר לא יהיה בטוח לנהוג."
נעל אותו
בעיות האבטחה המתוארות כאן מתרחשות בדרך מפלסית, הרבה מעל למחשב הביתי או העסק שלך. אתה לא זה שיכול או צריך ליישם פיתרון; זו עבודה עבור מחלקת ה- IT. חשוב לציין כי בחורי ה- IT צריכים לנהל נכון את ההבחנה בין שני סוגים שונים של שרתי DNS. קורי נחריינר, CISSP ומנהל אסטרטגיית אבטחה בחברת אבטחת הרשת WatchGuard, הסבירו.
"שרת DNS סמכותי הוא כזה שמספר לשאר העולם על התחום של החברה או הארגון שלך", אמר נחריינר. "השרת הסמכותי שלך אמור להיות זמין לכל אחד באינטרנט, עם זאת, עליו להגיב רק לשאלות בנוגע לתחום של החברה שלך." בנוסף לשרת ה- DNS הסמכותי הפונה כלפי חוץ, חברות זקוקות לשרת DNS רקורסיבי כלפי פנים. "שרת DNS רקורסיבי נועד לספק בדיקות תחום לכל העובדים שלך", הסביר נחריינר. "זה אמור להיות מסוגל להשיב לשאלות על כל האתרים באינטרנט, אך עליו לענות רק לאנשים בארגון שלך."
הבעיה היא שרתי DNS רקורסיביים רבים אינם מגבילים נכון את התגובות לרשת הפנימית. כדי לבצע התקפת השתקפות DNS, הרעים רק צריכים למצוא חבורה מאותם שרתים שהוגדרו בצורה שגויה. "בעוד עסקים אכן זקוקים לשרתי DNS רקורסיביים עבור העובדים שלהם", סיכמה נחריינר, "הם לא צריכים לפתוח את השרתים הללו לבקשות מאף אחד באינטרנט."
רוב קראוס, מנהל מחלקת צוות המחקר ההנדסי של Solutionary (SERT), ציין כי "לדעת כיצד נראית ארכיטקטורת ה- DNS שלך באמת מבפנים כמו גם מבחוץ יכולה לעזור לזהות פערים בפריסת ה- DNS של הארגונים שלך." הוא המליץ להבטיח שכל שרתי ה- DNS יהיו טלאים לחלוטין ומאובטחים למפרט. כדי לוודא שעשית זאת נכון, קראוס מציע "להשתמש בתרגילי פריצה אתיים כדי לעזור לחשוף תצורות שגויות."
כן, ישנן דרכים אחרות להפעיל התקפות DDoS, אך השתקפות DNS יעילה במיוחד בגלל אפקט ההגברה, שם כמות קטנה של תנועה מצד התוקף מייצרת כמות אדירה שנכנסת לקורבן. כיבוי השדרה הספציפית הזו לפחות יאלץ את פושעי הסייבר להמציא סוג חדש של מתקפה. זו התקדמות, סוג מסוים.