Radware:上周五美国大规模DDoS攻击是如何发生的

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:

10月21日上午,Dyn遭受到拒绝服务(DoS)攻击,造成了托管DNS网络的中断。成千上万的网站因此变得不可访问,其中包括Amazon EC2.当天晚些时候,当攻击者发起第二轮针对Dyn DNS系统的攻击时,问题又进一步加剧了。Dyn的攻击缓解措施可以通过RIPE网站查看,视频介绍了BGP切换。

1

Dyn宕机中Amazon的状态更新

域名服务器(DNS)就像电话簿或互联网路径图。这些服务保存了域名和相应IP地址的目录。相对于IP地址,人们更容易记住域名,因此,当用户在浏览器中键入Radware.com时,他们实际上指向的是91.240.147.21.

研究人员早就警告过绝大多数互联网客户采用多个DNS提供商进行网络管理的风险。许多只采用一个DNS提供商作为他们的主DNS和辅助DNS的互联网客户就存在问题。当Dyn DNS遭受攻击时,没有采用冗余DNS服务的客户就发现服务不可用,用户也无法访问其网站。

这并不是DNS服务提供商第一次遭受攻击。5月16日,NS1的托管DNS网络就遭遇了同类攻击。仅一周,NS1就持续遭受了多个DDoS攻击,从简单的大流量攻击到恶意直接DNS查询和畸形数据包。据报道,此次攻击广泛来源于真实客户域及变体的查询,因此更难于检测并和缓解。

DNS洪水是攻击者针对一个或多个DNS解析器发起的UDP洪水。DNS洪水是对称攻击,利用海量的UDP请求耗尽服务器资源、内存或CPU.攻击者发送精心设计的UDP流量进行域名解析。通过向目标DNS服务器发送海量请求,攻击者可以消耗服务器资源,进而导致合法请求的服务降级。

这些攻击针对的并非网络中的客户,而是DNS提供商本身。攻击者试图通过利用垃圾DNS查询淹没DNS提供商的方式耗尽网络资源。DNS服务器是通往互联网的路径图,可以帮助用户找到他们要寻找的网站。当攻击者占用了所有的DNS资源时,合法客户的请求就无法处理了。

DNS服务提供商每天都会收到海量流量,可以轻松应对多个20-60 Gbps的攻击。但当攻击流量增长到600 Gbps,网络资源无法承载时,就会导致资源耗尽进而引发服务降级。规模超过1 Tbps的流量会带来更大的威胁。这样的攻击规模很大,部分网络基础设施无法处理流量,最终会向攻击目标发送空路由信息,预防进一步的中断。物联网(IoT)僵尸网络在这一全新的领域占据领先地位。

这些海量DDoS攻击的背后是被感染的IoT设备。Flashpoint和Level3都能够识别并确认,用于针对Dyn DNS的拒绝服务攻击的基础架构是与Mirai恶意软件相关的僵尸网络。在本月初针对Brian Krebs和OVH的攻击中,Mirai僵尸网络名声大振,攻击规模达到了破纪录的1.1Tbps.攻击发生不久之后,HackForums的用户Anna_Senpai就发布了Mirai僵尸网络的源代码。自此之后,许多攻击者都可以自己修改并部署僵尸网络了。目前,Radware还未确定可租用的Mirai僵尸网络的位置,但在Darknet市场中可以找到很多其它可租用的僵尸网络。

2

Dyn攻击期间PayPal转换为DNS

Mirai和许多其它针对IoT设备的恶意软件变体都是利用预设密码来感染这些设备的。攻击者会扫描互联网,查找使用缺省凭证、很容易通过暴力破解攻入的设备。由于主动扫描可以生成海量永远在线的僵尸网络,因此攻击者仅用一天就可以快速招募超过100000台设备。

3

EA Support宣布与DynDNS相关的问题

为了破坏互联网,攻击者会通过攻击DNS、CDN和其它网络基础架构来攻击DNS服务提供商。目前还不清楚攻击的幕后主使是谁,但有一点很清楚,互联网客户需要实现更好的DNS管理和53端口出口过滤。

许多人都在猜测谁是攻击的幕后黑手,从俄罗斯、中国到匿名组织和Anna_Senpai.随着美国总统选举的日益临近,多数人倾向于猜测是俄罗斯,但这却不符合国家攻击的模式。该攻击也不符合匿名者的方式。通常,匿名者都会提前宣布要发起攻击活动,随后会列出攻击目标列表,并调整攻击。匿名者之后在第一波和第二波的攻击之间伺机发表攻击声明,如Julian Assange的互联网中断。

预计攻击者还将继续考验DNS和互联网基础架构的极限,直到企业真正能解决了与DNS和IoT安全相关的漏洞。

如果互联网客户采用了第二方作为辅助DNS,他们就可以避免10月21日的宕机。互联网客户需要花费时间部署更好的DNS管理方法并主动过滤53端口出口流量。

本文转自d1net(转载)

目录
相关文章
|
15天前
|
网络协议 安全 网络安全
如何识别DDOS攻击模式?
【10月更文挑战第12天】如何识别DDOS攻击模式?
66 18
|
15天前
|
监控 网络协议 网络安全
识别DDoS攻击
【10月更文挑战第12天】识别DDoS攻击
52 16
|
14天前
|
网络协议 安全 网络安全
DDoS攻击有哪些常见形式?
【10月更文挑战第13天】DDoS攻击有哪些常见形式?
90 14
|
14天前
|
安全 网络协议 网络安全
DDoS攻击的模式
【10月更文挑战第13天】DDoS攻击的模式
42 12
|
15天前
|
监控 安全 网络协议
DDoS攻击
【10月更文挑战第12天】DDoS攻击
65 12
|
8天前
|
监控 安全 JavaScript
DDoS攻击趋势令人担忧,安全防御体系构建指南
DDoS攻击趋势令人担忧,安全防御体系构建指南
33 1
|
15天前
|
人工智能 安全 网络协议
如何防御DDoS攻击?教你由被动安全转变为主动安全
如何防御DDoS攻击?教你由被动安全转变为主动安全
133 0
|
3月前
|
存储 安全 数据可视化
如何规避DDoS攻击带来的风险?服务器DDoS防御软件科普
如何规避DDoS攻击带来的风险?服务器DDoS防御软件科普
91 0
|
16天前
|
人工智能 安全 网络安全
基于阿里云平台帮助出海企业应对DDoS攻击
基于阿里云平台帮助出海企业应对DDoS攻击
|
22天前
|
负载均衡 安全 网络协议
DDOS攻击与防护
DDoS攻击通过大量合法请求占用目标服务器资源,导致正常用户无法访问。常见类型包括洪水攻击(如SYN Flood和UDP Flood)和放大攻击。其危害包括服务中断、经济损失及数据泄露。防护措施涵盖网络层面(流量清洗、带宽扩容、负载均衡)、系统层面(优化配置、安装防护软件、更新补丁)和应用层面(验证码、限速策略、动态IP封禁)。
105 1