¿El ataque DDoS del 21 de octubre de 2016 al servicio de DNS de Dyn causó la salida de ancho de banda?

TL; DR: Los ataques limitaron efectivamente los búferes de memoria asignados y aumentaron el uso de la CPU hasta su capacidad, dejando a los servidores incapaces de responder a solicitudes legítimas. El agotamiento del ancho de banda rara vez ocurre con los ataques SYN, porque se requiere muy poco ancho de banda para los ataques SYN y / o las búsquedas de DNS falsas.

Una inundación de TCP SYN simplemente llena los buffers de memoria disponibles mientras el servidor espera que regresen los paquetes ACK que no existen. En este ataque se consume muy poco ancho de banda, y puede derribar un servidor con pequeños grupos de TCP, incluso si tuvieran un ancho de banda literalmente ilimitado, ya que el ancho de banda no es la fuente del cuello de botella, sino la memoria de las conexiones pendientes. p>

Puede visualizar esto como la centralita telefónica de un operador telefónico, donde muchas de las llamadas son simplemente personas que ingresan al otro extremo de la línea sin decir nada útil; las personas que llaman legítimamente tienen que esperar a que el operador decida colgar todas las llamadas de broma. Finalmente, ya no hay más líneas telefónicas de repuesto, por lo que las personas que llaman legítimamente obtienen un tono de ocupado y tienen que volver a intentarlo más tarde.

Un ataque previo también usa un ancho de banda muy pequeño, ya que los scripts simplemente solicitan nombres de subdominio aleatorios del dominio de destino, lo que obliga al servidor DNS a pasar tiempo realizando búsquedas recursivas y a consultar repetidamente registros DNS en busca de entradas que no estén en su caché . En este caso, en lugar de que la memoria sea el cuello de botella, la CPU cumple esa función realizando mucho más trabajo del que tiene para realizar solicitudes legítimas.

Puede visualizar este tipo de ataque como muchas personas que llaman al operador desde la centralita, cada uno de los cuales solicita hablar con personas inexistentes. El operador tiene que tomarse un tiempo para buscar primero cada solicitud antes de decirle a la persona que llama que no hay nadie con ese nombre, mientras que las personas que llaman para comunicarse con personas conocidas tienen que esperar todas las búsquedas que debe realizar el operador. Esto funciona mejor si visualiza que el operador tiene una gran guía telefónica y tienen que pasar mucho tiempo volteando las páginas para determinar si realmente existe el nombre.

El agotamiento del ancho de banda, a modo de comparación, es cuando la red se satura con datos que intentan llegar al servidor. En este caso, ni la memoria del servidor ni la capacidad de procesamiento son el cuello de botella, sino que depende de que la red supere el 100% de la capacidad durante un período de tiempo. La mejor manera de lograr este tipo de ataque es enviar paquetes realmente grandes muy rápido, desde tantos lugares como sea posible.

Esto es más difícil de visualizar, pero imagina que se reciben muchas llamadas de broma al mismo tiempo, y el operador de la centralita tiene que esperar a que cada persona termine de decir lo que tiene que decir antes de pasar a la siguiente llamada. Cada llamada de broma es en realidad una persona que habla sobre su historia de vida y su historia familiar durante los últimos 50 años, atando las líneas para esa persona que simplemente quiere ser transferida. Sin embargo, no es una analogía tan perfecta como lo es para los demás, porque en realidad se está produciendo de manera efectiva desde el operador. Está fuera de su control.

¿Por qué no simplemente deshabilitar la búsqueda?

Debes considerar cuál es el objetivo del atacante aquí: negar a los usuarios los sitios que usan el DNS de Dyn para resolver nombres. Si Dyn deshabilitó la búsqueda de subdominios mientras ocurría un ataque, eso habría negado a los usuarios legítimos de estos sitios la posibilidad de resolver estos nombres también. Esto es exactamente lo que el atacante quería, el objetivo logrado para ellos.

Cada segundo que Dyn deshabilita su servicio, sus clientes, los sitios grandes que dependen de su servicio de DNS es inalcanzable y estos sitios grandes están perdiendo mucho dinero. Cuando la puerta está cerrada, el atacante puede simplemente marcar el ataque (reduciendo su propio costo y haciéndose menos visible y más difícil de bloquear) y esperar hasta que Dyn vuelva a abrirse y luego simplemente reabastecer, enjuagar y repetir. Mientras tanto, los clientes legítimos no pueden conectarse a sus sitios favoritos.

Esto es todo especulativo:

En cuanto a los eventos y los servicios que brinda esta empresa, parece que esto estaba muy dirigido a los grupos de DNS que intentan optimizar la ubicación geográfica y la dirección del tráfico. La razón por la que se utiliza TCP es debido a las medidas de RTT (establecer el bit de truncamiento y el cliente envía la solicitud de tcp) y autenticación. Esto le puede dar aproximaciones al GEO y respaldado por etiquetas geográficas ISP y ASN.

Si se tratara de sistemas basados en linux que proporcionaban retenciones tcp syn, entonces la sintonización podría haberse desactivado para el volumen. Debido a la cantidad de BOT, incluso a bajo volumen (100 sincronizaciones por segundo por bot), podría haber ~ 100 millones de sincronizaciones por segundo en el pico si el CNC emite 100 sincronizaciones por segundo. Además, podría haber un efecto secundario asociado con la suplantación de identidad si los rangos de las direcciones de origen se centran en las direcciones IP asociadas con una región geográfica específica como el costo este de los EE. UU.

La limitación, funciona pero de nuevo solo a escalas específicas. Luego te encuentras con el problema de la aguja y el pajar del tráfico legítimo frente al tráfico falsificado con la misma fuente. Como he dicho anteriormente, el rango de geo ip podría haber sido el objetivo del grupo de falsificación tanto como el propio servicio.