Ddos с умножением через Dns-резолверы
технические подробности
Написано 2 ноября 2012 г. 16:50:36
В сентябре 2012 года компания Cloudflare рассказала о том, что в последнее время её клиенты часто начали сталкиваться с DDoS-атаками необычной силы: до 65 Гбит/с. Сегодня в Cloudflare опубликовали технические подробности атак такой мощности. Эксперты выяснили, что в данном случае использовался один из методов умножения запросов. Умножение осуществлялось за счёт DNS reflection (отражение DNS-запросов) через DNS-резолверы, которые установлены у каждого интернет-провайдера.
Обычно DNS-резолверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что резолверы принимают запросы от любого пользователя интернета. Вот список неправильно сконфигурированных резолверов, так называемых «открытых DNS-резолверов». Специалисты Cloudflare обнаружили в интернете 68459 открытых DNS-резолверов, в том числе 862 в России.
Схематично метод выглядит так: DNS-запросы обычно идут по протоколу UDP, где можно легко подделать заголовок с обратным IP-адресом. Соответственно, ддосеры направляют к открытым DNS-резолверам поток DNS-запросов с IP-адресом жертвы, а резолвер отвечает на указанный адрес. Чтобы максимально усилить трафик, составляются запросы, которые требуют максимально объёмного ответа: например, запрос списка всех DNS-записей в определённой зоне. В отчете приводится пример. Вы можете отправить такой запрос размером 64 байта на один из открытых DNS-резолверов.
dig ANY isc.org x.x.x.x,
где x.x.x.x — это IP-адрес резолвера. Ответ будет аж 3223 байта.
Таким образом, DDoS-атаку можно усиливать в десятки раз, умножая трафик с помощью DNS-резолверов. В данном случае усиление составляет 3223/64≈50 раз. Любопытно, что в значительной мере усиление DDoS-атаки достигнуто благодаря большим ключам DNSSEC, которые включены в тело ответа, а ведь протокол DNSSEC внедрялся с целью повысить безопасность системы DNS.
Статья для ознакомления и поиска возможных вариантов защиты от ддос атак
Тестировали эту схему ( тестировали на своих проектах ) все-таки можно держаться на плаву , но опять-же все упирается в кол-во ботов ...
Обычно DNS-резолверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что резолверы принимают запросы от любого пользователя интернета. Вот список неправильно сконфигурированных резолверов, так называемых «открытых DNS-резолверов». Специалисты Cloudflare обнаружили в интернете 68459 открытых DNS-резолверов, в том числе 862 в России.
Схематично метод выглядит так: DNS-запросы обычно идут по протоколу UDP, где можно легко подделать заголовок с обратным IP-адресом. Соответственно, ддосеры направляют к открытым DNS-резолверам поток DNS-запросов с IP-адресом жертвы, а резолвер отвечает на указанный адрес. Чтобы максимально усилить трафик, составляются запросы, которые требуют максимально объёмного ответа: например, запрос списка всех DNS-записей в определённой зоне. В отчете приводится пример. Вы можете отправить такой запрос размером 64 байта на один из открытых DNS-резолверов.
dig ANY isc.org x.x.x.x,
где x.x.x.x — это IP-адрес резолвера. Ответ будет аж 3223 байта.
Таким образом, DDoS-атаку можно усиливать в десятки раз, умножая трафик с помощью DNS-резолверов. В данном случае усиление составляет 3223/64≈50 раз. Любопытно, что в значительной мере усиление DDoS-атаки достигнуто благодаря большим ключам DNSSEC, которые включены в тело ответа, а ведь протокол DNSSEC внедрялся с целью повысить безопасность системы DNS.
Статья для ознакомления и поиска возможных вариантов защиты от ддос атак
Тестировали эту схему ( тестировали на своих проектах ) все-таки можно держаться на плаву , но опять-же все упирается в кол-во ботов ...
Честная жизнь = нищета, попробывал - не хочу ! 
Написано 2 ноября 2012 г. 17:55:48
известна эта схема была ещё год назад,
атака получается жестокой, бороться с ней очень тяжко,
при хорошем ботнете, застрелит на повал.
выход только блекхолить атакуемую подсеть, чтобы не рухнуло всё. Тоесть хостер убивает атакуемый хост сам, чтобы другие не пострадали. Атакуемому хосту ласты полюбасу.
а плавать можно при такой атаке только в пределах аплинка.
вот технология в действии
http://ninjaside.info/2010/10/100-gigabit-ddos/
атака получается жестокой, бороться с ней очень тяжко,
при хорошем ботнете, застрелит на повал.
выход только блекхолить атакуемую подсеть, чтобы не рухнуло всё. Тоесть хостер убивает атакуемый хост сам, чтобы другие не пострадали. Атакуемому хосту ласты полюбасу.
а плавать можно при такой атаке только в пределах аплинка.
вот технология в действии
http://ninjaside.info/2010/10/100-gigabit-ddos/
Изменено 2 ноября 2012 г. 18:00:06 doran
Если бы не гравитация, многие бы уже давно допрыгались.
Пользователи читающие эту тему: 2
1 пользователь, 1 гость