Թեմա 1. Իրավաբանական գաղափարների էությունը. ճակատագրական երկվորություն. Ռուբեն Մելիքյան
DDoS攻击变得越来越复杂,结合了需要不同缓解策略的多种攻击技术以及滥用新协议。
Akamai的事件响应者最近帮助缓解针对一个未命名的欧洲媒体组织的DDoS攻击,该组织以363Gbps(每秒位数)和每秒5700个数据包达到峰值。
虽然规模本身令人印象深刻,远远超出单个组织可以自行抵御的情况,攻击也突出,因为它结合了六种不同的技术或向量:DNS反射,SYN泛滥,UDP片段,PUSH泛滥,TCP泛滥, Akamai在发布的一份报告中称,今年第一季度观察到的所有DDoS攻击中,近60%是多矢量攻击。上个月。其中大多数使用了两个向量,只有2%使用了五种或更多技术。
在这次大型攻击中使用的DNS(域名系统)反射技术也很有趣,因为攻击者滥用启用了DNSSEC的域来生成更大的响应。DNS反射涉及滥用错误配置的DNS解析器来响应欺骗请求。攻击者可以通过将目标的Internet协议(IP)地址指定为请求的源地址,将DNS查询发送到Internet上的这些服务器。这会导致服务器将其响应指向受害者而不是真正的DNS查询源
这种反射对攻击者非常有用,因为它隐藏了恶意流量的真正来源,并且因为它可以产生放大效果: DNS服务器向受害者发送的响应的大小大于触发它们的查询的大小,从而使攻击者能够产生比他们可能发生的更多流量。
使用针对为域名系统安全扩展(DNSSEC)配置的域名的查询,只会增加放大因子,因为DNSSEC响应甚至大于常规响应。这是因为他们拥有用于加密验证的附加数据。
DNSSEC允许客户验证DNS数据的来源以及数据的完整性,确保DNS响应在途中未被更改,并且由权威服务器提供“在过去几个季度,Akamai观察并缓解了许多滥用DNSSEC配置域的DNS反射和放大DDoS攻击,”Akamai研究人员在周二发布的一份咨询报告中称。公司已经观察到相同的DNSSEC配置的域名在DDoS放大攻击中被滥用于不同行业的目标。
周二发布的另一项Akamai咨询报告描述了今年与麻省理工学院网络进行的多项DDoS攻击活动。其中一起攻击发生在4月份,并通过触发cpsc.gov和isc.org(两个DNSSEC启用的域名)的响应来使用DNS反射。<域名所有者本身并没有过错,并且没有感受到这些攻击,“Akamai研究人员说。 “攻击者滥用开放的解析器,发送一系列欺骗性DNS查询,IP源设置为MIT目标IP,其中大多数服务器将缓存初始响应,因此多个查询不会授权给授权名称服务器。”
不幸的是,DNS不是唯一可用于DDoS放大的协议。 NTP,CHARGEN和SSDP协议也常用于此类攻击,不幸的是,只要互联网上存在配置错误的服务器和设备,这种技术将继续受到攻击者的青睐。
