"Primero movimos el prefijo IP de BGP", dijo Gargula al detallar el ataque, "Traté de aislar el tráfico humano legítimo del tráfico del bot y no mezclarlo. Sacrificamos una de sus tres capas de enlace ascendente BGP como una 'canary' para probar la sofisticación del ataque. Luego, cambiamos la configuración del enlace ascendente de IP ".
"¿Cómo ayuda mover el prefijo BGP IP?"
Creo que se están refiriendo a un sumidero: un enrutador de sacrificio, en este caso un enrutador BGP, ya que BGP puede no requerir mucha autenticación. Al configurar el sinkhole para "anunciar rutas con direcciones de destino bogon, puede configurar una trampa central para el tráfico malicioso de todo tipo "[Hacking Exposed 7: Network Security Secrets and Solutions, 2012]. Las listas de direcciones de bogon se pueden encontrar en línea: www.cymru.com/Bogons , slides
"Y también, ¿qué otras técnicas sofisticadas de DDOS existen?"
Hay una serie de sofisticadas técnicas de DDoS. DDoS aprovecha los métodos DoS utilizando una superficie de ataque distribuida. La mayoría de nosotros probablemente sabemos acerca de la inundación SYN, donde un paquete syn se envía con una dirección de origen falsificada y el sistema receptor intenta reconocer que no recibe una respuesta y se queda con una conexión parcial en una cola corta que se deshabilita fácilmente con la inundación. De manera similar, se diseña una inundación de UDP y las direcciones IP de origen a menudo se falsifican para apuntar a los servidores DNS que dependen del protocolo UDP.
La amplificación reflexiva es otro ataque DDoS (DRDoS) que nuevamente usa suplantación de identidad. A menudo, las botnets envían los paquetes, la dirección de origen es la dirección IP de la víctima, y los paquetes se envían a las máquinas que intentan responder a la víctima simultáneamente, generando una gran cantidad de paquetes enviados a la víctima. Por ejemplo, los servidores DNS responden a pequeñas solicitudes con una gran cantidad de información y la amplificación de DNS puede abrumar el sistema de la víctima.
Los ataques DDoS de la capa de aplicación utilizan las mismas ideas en un nivel superior, como el nivel web, en lugar del nivel de transporte o comunicación. Aquí el objetivo del atacante es encontrar una solicitud breve y fácil que genere mucho trabajo en la API de la víctima. Por ejemplo, una solicitud de búsqueda de una sola palabra puede consumir muchos ciclos en la máquina de la víctima. O un sitio basado en bases de datos, puede tener páginas que activan consultas de bases de datos cuando se solicita la URL. Ahora, el atacante puede usar solo unas pocas consultas por segundo, ya sea haciendo las solicitudes de manera distribuida o no, y detener la molienda de la máquina de la víctima.
También hay un ataque DoS de baja velocidad donde el atacante hace que una conexión TCP entre en un estado de retransmisión. Si suficientes conexiones entran en este estado, la máquina de la víctima sufre un rendimiento decreciente.
Consulte Hacking Exposed 7: Network Security Secrets & Soluciones para una mayor discusión de los ataques DDoS. Consulte Wikipedia para más ataques: enlace