|
|
Dyn DDoS攻擊如何展開(kāi)���?美國(guó)16年10月21網(wǎng)絡(luò)癱瘓����。灰鴿子,遠(yuǎn)程控制軟件
一個(gè)龐大的僵尸網(wǎng)絡(luò)鋪在一起,部署在世界各地���,淹沒(méi)了區(qū)域DNS數(shù)據(jù)中心
灰鴿子.jpg (53.15 KB, 下載次數(shù): 552)
下載附件
黑客
2016-10-22 15:11 上傳
今天的攻擊淹沒(méi)了由Dyn提供的互聯(lián)網(wǎng)地址查找服務(wù)的協(xié)調(diào)和仔細(xì)繪制����,以消除全球數(shù)據(jù)中心�����,防止客戶達(dá)到超過(guò)1,200域Dyn負(fù)責(zé)�。
根據(jù)ThousandEye的一項(xiàng)網(wǎng)絡(luò)監(jiān)控服務(wù),攻擊仍在東部時(shí)間晚上7點(diǎn)進(jìn)行��。
Dyn的服務(wù)采用人類(lèi)互聯(lián)網(wǎng)地址��,如www.networkworld.com��,并提供與其相關(guān)的IP地址�,以便路由器可以將流量引導(dǎo)到正確的位置。
通過(guò)洪水Dyn��,攻擊阻止流量到達(dá)Dyn的客戶�,包括亞馬遜���,Etsy,GitHub�,Shopify���,Twitter和紐約時(shí)報(bào)��。
DDoS攻擊力包括5萬(wàn)到10萬(wàn)件物聯(lián)網(wǎng)(IoT)設(shè)備�,如在未來(lái)僵尸網(wǎng)絡(luò)中的攝像機(jī)和DVR���,以及未知數(shù)量的其他設(shè)備是其他僵尸網(wǎng)絡(luò)的一部分�����,Dale Drew ��。他對(duì)攻擊背后的主謀進(jìn)行了推理�,雇傭了多個(gè)僵尸網(wǎng)絡(luò)來(lái)編譯攻擊所需的數(shù)字�����。
ThousandEyes的網(wǎng)絡(luò)中斷分析師Nick Kephart說(shuō)���,似乎為了確保Dyn的服務(wù)在世界范圍內(nèi)受到嚴(yán)重破壞�����,似乎正在進(jìn)行細(xì)致的規(guī)劃�。
他說(shuō),第一波攻擊是針對(duì)三個(gè)Dyn數(shù)據(jù)中心 - 芝加哥���,華盛頓特區(qū)和紐約 - 主要影響美國(guó)東海岸�����,因?yàn)镈NS查找路由到最近的數(shù)據(jù)中心���。
第二波,他說(shuō)��,正在東部時(shí)間晚上7點(diǎn)���,擊中20 Dyn數(shù)據(jù)中心在世界各地����。這一階段的攻擊需要廣泛的規(guī)劃。由于DNS請(qǐng)求到最近的DNS服務(wù)器���,這意味著攻擊者必須為20個(gè)數(shù)據(jù)中心中的每一個(gè)規(guī)劃成功的攻擊��。這意味著在每個(gè)地區(qū)有足夠的機(jī)器人能夠取消本地Dyn服務(wù)�,他說(shuō)����。
Drew說(shuō)攻擊主要包括TCP SYN洪水攻擊直接針對(duì)Dyn的DNS服務(wù)器的端口53�����,但也是一個(gè)前端攻擊���,也稱(chēng)為子域攻擊�����。這是當(dāng)攻擊者向域名的服務(wù)器發(fā)送DNS請(qǐng)求時(shí)����,他們知道目標(biāo)是有權(quán)威的����。但它們粘在域名前面的隨機(jī)前綴或子網(wǎng)名稱(chēng)�。服務(wù)器不會(huì)在緩存中有這些�,所以必須查找它們,減少計(jì)算資源��,有效地防止服務(wù)器處理合法的流量��,他說(shuō)�����。
如果攻擊只針對(duì)一個(gè)域�,則表示攻擊者想要傷害域的所有者,他說(shuō)��。在這種情況下�,攻擊是Dyn的權(quán)威范圍內(nèi),指示中斷Dyn的服務(wù)是目標(biāo)��。
他說(shuō)���,Mirai���,在巨大的IoT僵尸網(wǎng)絡(luò)背后的惡意軟件,參與。在所有50萬(wàn)左右的Mirai機(jī)器人中���,約有10%至20%涉及�����,但其他設(shè)備也是如此����。
Drew說(shuō)Level 3工程師正在試圖找出所有攻擊中涉及多少不同的設(shè)備��。
ThousandEyes觀察到Dyn和互聯(lián)網(wǎng)提供者在白天斷開(kāi)的對(duì)等關(guān)系��,因?yàn)檫B接失敗�����,或者一方或雙方?jīng)Q定這樣做是最符合他們的利益的�����。
Kephart說(shuō)�,朝向Dyn的僵尸網(wǎng)絡(luò)流量可能在互聯(lián)網(wǎng)骨干提供商網(wǎng)絡(luò)的邊緣造成足夠的擁塞���,他們削減它們�����,所以合法的流量甚至沒(méi)有達(dá)到Dyn可以通過(guò)�����。例如����,ThousandEyes注意到級(jí)別3打破了與Dyn的連接。
沒(méi)有削減他們�����,主要的互聯(lián)網(wǎng)骨干提供商肯定不得不重新路由一些流量���,以避免Dyn攻擊造成的擁塞�。
這次攻擊是全球范圍內(nèi)最大的DNS攻擊提供商之一�,攻擊持續(xù)時(shí)間和域名數(shù)量 - 保守地超過(guò)1200個(gè),Kephart說(shuō)�����。
他說(shuō),鑒于過(guò)去一個(gè)月的大型IoT僵尸網(wǎng)絡(luò)攻擊��,他預(yù)期更有效的攻擊��。
ThousandEyes觀察Dyn客戶要么備份DNS提供商�,如亞馬遜,或者注冊(cè)一個(gè)替代今天后的攻擊�����,如PayPal��。
企業(yè)可能會(huì)考慮降低其DNS服務(wù)器上的生命周期設(shè)置���,因此當(dāng)這樣的攻擊發(fā)生時(shí)�,他們可以更快地將流量重定向到仍然可用的另一個(gè)DNS服務(wù)�����。
“這真的是不祥的�,”Kephart說(shuō)��。 “可怕的是����,它顯示了一些關(guān)鍵基礎(chǔ)設(shè)施對(duì)這么多服務(wù)如此重要���,”而且該基礎(chǔ)設(shè)施是脆弱的。
大規(guī)模的僵尸網(wǎng)絡(luò)的拼湊和部署在世界各地���,淹沒(méi)區(qū)域DNS數(shù)據(jù)中心
今天的襲擊���,此番互聯(lián)網(wǎng)地址查找服務(wù)提供的動(dòng)態(tài)都協(xié)調(diào)、精心策劃了把數(shù)據(jù)中心遍布全球各地�,防止客戶達(dá)到超過(guò)1200個(gè)域名DYN負(fù)責(zé)。
攻擊還在繼續(xù)在東部時(shí)間下午7點(diǎn)�����,根據(jù)thousandeye���,網(wǎng)絡(luò)監(jiān)控服務(wù)�����。
動(dòng)態(tài)的服務(wù)作為人類(lèi)語(yǔ)言的互聯(lián)網(wǎng)地址如www.networkworld.com和提供的IP地址���,路由器可以直接與他們相關(guān)的交通到正確的位置�����。
洪水出現(xiàn)攻擊阻止交通達(dá)到動(dòng)態(tài)的客戶���,包括亞馬遜,Etsy�����,GitHub�����,Shopify����,推特和紐約時(shí)報(bào)。
DDoS攻擊力包括50000至100000物聯(lián)網(wǎng)(IOT)設(shè)備如攝像機(jī)和DVR的未來(lái)僵尸網(wǎng)絡(luò)的奴役�����,以及有其他的僵尸網(wǎng)絡(luò)�����,部分其他設(shè)備數(shù)目不詳?shù)氖紫夹g(shù)官Dale Drew說(shuō)�,3級(jí)。他提出的幕后策劃攻擊雇傭多個(gè)僵尸網(wǎng)絡(luò)的攻擊要編譯的數(shù)目����。
看來(lái)仔細(xì)的規(guī)劃到攻擊,為了確保Dyn的服務(wù)是殘缺的世界��,Nick Kephart說(shuō)���,網(wǎng)絡(luò)中斷分析師thousandeyes�。
他說(shuō)����,第一波攻擊來(lái)攻擊三動(dòng)態(tài)數(shù)據(jù)中心–芝加哥,華盛頓�����,D.C.��,和紐約的影響主要的美國(guó)東海岸由于DNS查找路由到最近的數(shù)據(jù)中心���。
第二波���,他說(shuō)這是目前在東部時(shí)間下午7點(diǎn)���,達(dá)到20達(dá)因世界各地的數(shù)據(jù)中心。這一階段的攻擊需要廣泛的規(guī)劃�����。由于DNS請(qǐng)求到最近的DNS服務(wù)器���,這意味著攻擊者不得不計(jì)劃每20個(gè)數(shù)據(jù)中心�����,一個(gè)成功的攻擊�����。這意味著在每個(gè)區(qū)域足夠的機(jī)器人能夠把本地動(dòng)態(tài)服務(wù)���,他說(shuō)。
Drew說(shuō)���,攻擊主要由TCP SYN洪水是直接反對(duì)Dyn的DNS服務(wù)器的53端口���,而且在攻擊,也被稱(chēng)為一個(gè)子域攻擊����。這是當(dāng)攻擊者發(fā)送DNS請(qǐng)求到服務(wù)器的一個(gè)領(lǐng)域,他們知道目標(biāo)是權(quán)威����。但他們釘?shù)角懊娴挠蛎S機(jī)預(yù)備或子網(wǎng)名稱(chēng)。服務(wù)器不會(huì)有這些緩存中只能看他們���,消耗的計(jì)算資源和有效防止服務(wù)器處理合法的交通���,他說(shuō)。
如果攻擊是針對(duì)只是一個(gè)域�����,它會(huì)表明攻擊者想傷害該域名的所有者���,他說(shuō)�����。在這種情況下���,攻擊是跨域動(dòng)態(tài)范圍的權(quán)威性���,表明中斷Dyn的服務(wù)目標(biāo)。
他說(shuō)�,美玲,物聯(lián)網(wǎng)背后龐大的僵尸網(wǎng)絡(luò)惡意軟件����,涉及。大約10%到20%的所有已知的500000的未來(lái)機(jī)器人的參與�����,但有其他設(shè)備����。
Drew說(shuō),3級(jí)的工程師們正在試圖找出在所有的攻擊中����,有多少不同的設(shè)備參與����。
thousandeyes觀察窺視DYN和互聯(lián)網(wǎng)服務(wù)提供商打破白天的關(guān)系�����,要么因?yàn)檫B接失敗或一方或雙方的決定是他們的最佳利益這樣做����。
Kephart說(shuō)���,前往動(dòng)態(tài)僵尸網(wǎng)絡(luò)流量可能造成足夠的擁擠在互聯(lián)網(wǎng)骨干網(wǎng)提供商網(wǎng)絡(luò)的邊緣�����,他們把他們的合法交通甚至走向DYN能通過(guò)��。例如�,thousandeyes指出���,3級(jí)斷了聯(lián)系Dyn���。
短切下來(lái),主要的互聯(lián)網(wǎng)骨干網(wǎng)提供商一定要改變一些交通擁塞避免的動(dòng)態(tài)攻擊了。
這次襲擊是一個(gè)最大的對(duì)DNS提供商���,在全球范圍�����,攻擊的域的數(shù)量和持續(xù)時(shí)間–超過(guò)1200��,保守–被擊中�,Kephart說(shuō)�����。
他說(shuō)�����,鑒于大量的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊在過(guò)去的一個(gè)月里��,他預(yù)計(jì)更類(lèi)似有效的攻擊���。
thousandeyes觀察動(dòng)態(tài)客戶要么要備份的DNS提供商����,如亞馬遜所做的,或簽署了另一個(gè)今天的襲擊后�,貝寶做。
企業(yè)可能會(huì)降低他們的時(shí)間生活在他們的DNS服務(wù)器設(shè)置�����,所以當(dāng)這樣的攻擊發(fā)生�,他們可以將流量重定向到另一個(gè)更快的DNS服務(wù),仍然是可用的�����。
“這真是可怕�,”Kephart說(shuō)����!傲钊撕ε碌氖�����,它顯示了一些關(guān)鍵的基礎(chǔ)設(shè)施是如此重要�,如此多的服務(wù),”和基礎(chǔ)設(shè)施是脆弱的�。
|
|
加載中...
發(fā)表于 2016-10-22 15:12:34
收藏