Un ataque reciente a los servicios DNS de Dyn afectó a varios sitios web importantes el viernes pasado, 21 de octubre de 2016. Me gustaría saber si esto fue Agotamiento de ancho de banda o si se cargó principalmente en el servidor y / o en el equipo del enrutador.
La declaración oficial indica que 10s de millones de direcciones IP estaban involucradas en El ataque DDoS. Supongo que el Agotamiento del ancho de banda se produciría en tales circunstancias. Los ataques de agotamiento de ancho de banda, por supuesto, solo se pueden resolver en cooperación con el ISP .
Sin embargo, basado en esta descripción , Parece que esa no es la sustancia del ataque. (énfasis mío)
[Dale Drew, CSO de Level 3 ] dice que el ataque consistió principalmente en inundaciones TCP SYN apuntadas directamente en contra del puerto 53 de los servidores DNS de Dyn, pero también un ataque de prefabricación , que también se llama un ataque de subdominio. Es cuando los atacantes envían solicitudes de DNS a un servidor para un dominio para el que saben que el objetivo tiene autoridad. Pero se colocan en la parte frontal del nombre de dominio, al azar, o designaciones de subred. El servidor no los tendrá en su caché, por lo que tendrá que buscarlos, agotando los recursos computacionales y evitando que el servidor maneje el tráfico legítimo, dice.
Por otro lado, ambos me parecen bastante simples de mitigar rápidamente. Por ejemplo, deshabilitar / limitar temporalmente las solicitudes TCP y recursivas
(¿o es mi interpretación incorrecta? ¿Quizás no es una búsqueda recursiva, solo una búsqueda en la base de datos?)
hacer espacio para peticiones más importantes; como las búsquedas autoritativas de, por ejemplo, twitter.com, que se ofrecen casi exclusivamente a través de UDP .
Además de comprender mejor por qué esos vectores no pudieron haberse sacrificado temporalmente para mitigar el ataque; Mi pregunta principal es si se produjo o no el agotamiento del ancho de banda? (¿Es este conocimiento público?) Eso sin duda explicaría el impacto más que los vectores informados anteriormente.