Ataque DDOS sofisticado

11

De acuerdo con esto article , ProtonMail fue víctima de un ataque DDOS muy sofisticado.

  

"A las 2 de la tarde hubo una escalada dramática", dijo Yen. De acuerdo con Yen y Gargula, los atacantes golpearon 15 nodos ISP diferentes simultáneamente, luego atacaron a todos los ISP que ingresaban al centro de datos utilizando una amplia gama de tácticas sofisticadas. "Este ya no era su DDoS estándar", explicó Yen, "de hecho, la mayoría de los expertos con los que hablamos nunca habían visto algo así".

     

"Primero movimos el prefijo IP de BGP", dijo Gargula al detallar el ataque, "Traté de aislar el tráfico humano legítimo del tráfico del bot y no mezclarlo. Sacrificamos una de sus tres capas de enlace ascendente BGP como una 'canary' para probar la sofisticación del ataque. Luego, cambiamos la configuración del enlace ascendente de IP ".

¿Cómo ayuda mover el prefijo BGP IP? Por lo que entiendo, siempre que el registro MX pueda resolverse a una IP, el atacante puede inundar la IP con paquetes que serán enrutados al nuevo AS. Si no se puede resolver, los usuarios legítimos tampoco podrán acceder al servicio.

Y también, ¿qué otras técnicas sofisticadas de DDOS existen?

    
pregunta limbenjamin 24.03.2016 - 17:06
fuente

2 respuestas

1

¡Solo en mi opinión!

No hay sofisticación en el ataque de Denegación de Servicio, pero en DDOS la única sofisticación es que puedes almorzar un ataque al mismo tiempo desde más objetivos. Así que ... Si (cerebro) {no es gran cosa}.

  

¿Cómo ayuda mover el prefijo BGP IP?

Bueno, hay dos cosas que podrías hacer con BGP para defenderte contra DDOS:

1. RTBH - Agujero negro disparado de forma remota (el radical)

Blackhole (detener el tráfico) para que la IP sea atacada. Desventaja: ya no se puede acceder a la IP que se está apuntando. Beneficio: El resto de su red permanece activa

2. Fuente basada en RTBH (la segunda opción se basa en la primera)

RTBH también se puede usar (en ciertas configuraciones) para bloquear el tráfico proveniente de direcciones IP específicas (en un DDoS real que no ayudaría mucho, ya que el tráfico provendría de miles de direcciones IP).

En su caso, puede obtener todos los prefijos para el AS de una base de datos de enrutamiento como RADB y bloquearlos con RTBH basado en la fuente. El tráfico aún afectará a tu red en la frontera.

Cuando utiliza RTBH "simple", la ventaja es que puede enviar estas rutas RTBH a su ISP Upstream (si es que lo admiten), quien podría bloquear el tráfico en su red para que no tenga que manejarlo.

Respuesta corta:

Tienes servidores A, B, C, D en la misma red (diferentes IP) ... ¡A está bajo ataque! A es eliminado por DDOS y también B, C, D se ponen en reposo porque utilizas la misma red. Matas el movimiento A fuera del alcance de DDOS y te despiertas B, C, D.

    
respondido por el Lucian Nitescu 24.03.2016 - 17:27
fuente
3
  

"Primero movimos el prefijo IP de BGP", dijo Gargula al detallar el ataque, "Traté de aislar el tráfico humano legítimo del tráfico del bot y no mezclarlo. Sacrificamos una de sus tres capas de enlace ascendente BGP como una 'canary' para probar la sofisticación del ataque. Luego, cambiamos la configuración del enlace ascendente de IP ".

"¿Cómo ayuda mover el prefijo BGP IP?"

Creo que se están refiriendo a un sumidero: un enrutador de sacrificio, en este caso un enrutador BGP, ya que BGP puede no requerir mucha autenticación. Al configurar el sinkhole para "anunciar rutas con direcciones de destino bogon, puede configurar una trampa central para el tráfico malicioso de todo tipo "[Hacking Exposed 7: Network Security Secrets and Solutions, 2012]. Las listas de direcciones de bogon se pueden encontrar en línea: www.cymru.com/Bogons , slides

"Y también, ¿qué otras técnicas sofisticadas de DDOS existen?"

Hay una serie de sofisticadas técnicas de DDoS. DDoS aprovecha los métodos DoS utilizando una superficie de ataque distribuida. La mayoría de nosotros probablemente sabemos acerca de la inundación SYN, donde un paquete syn se envía con una dirección de origen falsificada y el sistema receptor intenta reconocer que no recibe una respuesta y se queda con una conexión parcial en una cola corta que se deshabilita fácilmente con la inundación. De manera similar, se diseña una inundación de UDP y las direcciones IP de origen a menudo se falsifican para apuntar a los servidores DNS que dependen del protocolo UDP.

La amplificación reflexiva es otro ataque DDoS (DRDoS) que nuevamente usa suplantación de identidad. A menudo, las botnets envían los paquetes, la dirección de origen es la dirección IP de la víctima, y los paquetes se envían a las máquinas que intentan responder a la víctima simultáneamente, generando una gran cantidad de paquetes enviados a la víctima. Por ejemplo, los servidores DNS responden a pequeñas solicitudes con una gran cantidad de información y la amplificación de DNS puede abrumar el sistema de la víctima.

Los ataques DDoS de la capa de aplicación utilizan las mismas ideas en un nivel superior, como el nivel web, en lugar del nivel de transporte o comunicación. Aquí el objetivo del atacante es encontrar una solicitud breve y fácil que genere mucho trabajo en la API de la víctima. Por ejemplo, una solicitud de búsqueda de una sola palabra puede consumir muchos ciclos en la máquina de la víctima. O un sitio basado en bases de datos, puede tener páginas que activan consultas de bases de datos cuando se solicita la URL. Ahora, el atacante puede usar solo unas pocas consultas por segundo, ya sea haciendo las solicitudes de manera distribuida o no, y detener la molienda de la máquina de la víctima.

También hay un ataque DoS de baja velocidad donde el atacante hace que una conexión TCP entre en un estado de retransmisión. Si suficientes conexiones entran en este estado, la máquina de la víctima sufre un rendimiento decreciente.

Consulte Hacking Exposed 7: Network Security Secrets & Soluciones para una mayor discusión de los ataques DDoS. Consulte Wikipedia para más ataques: enlace

    
respondido por el Brent Kirkpatrick 28.03.2016 - 21:58
fuente

Lea otras preguntas en las etiquetas