|
攻击行动的多矢量的DDoS攻击,使用DNSSEC扩增,远程控制软件,灰鸽子下载
研究人员从Akamai观察多种攻击滥用DNSSEC启用DDoS放大域
DDoS攻击变得越来越复杂,结合多种攻击技术,需要不同的缓解策略,和对新协议。
事件响应来自Akamai最近帮助减轻DDoS攻击一名不愿透露姓名的欧洲媒体组织,达到363g bps(比特/秒)和每秒5700万包。
而规模本身是令人印象深刻,在什么一个组织能战胜自己,攻击也站了出来,因为它结合了六个不同的技术,或载体:DNS反射,SYN Flood、UDP碎片,把洪水、TCP和UDP洪水泛滥。
几乎百分之60的DDoS攻击,观察在今年第一季度多矢量攻击,Akamai的说在上个月发布的报告。他们中的大多数使用两个向量,只有百分之2个使用五个或更多的技术。
DNS(域名系统)中使用的大型攻击反射技术也很有趣,因为攻击者滥用DNSSEC启用域以产生更大的反应。
DNS反射涉及滥用错误配置的DNS解析器,应对伪造的请求。攻击者可以发送DNS查询到这些服务器在互联网上通过指定目标的互联网协议(IP)地址作为请求的源地址。这导致服务器直接受害者的响应而不是DNS的房源查询。
这反映了攻击者是有价值的因为它隐藏的恶意流量的真正来源,因为它可以有一个放大效应:响应发送到受害者的DNS服务器的尺寸比,引发他们的疑问较大,允许攻击者产生更多的流量比他们否则可能。
使用查询域名配置域名系统安全扩展(DNSSEC)只增加了放大系数,作为DNSSEC响应比普通的更大。这是因为他们有用于加密验证的附加数据。
DNSSEC允许客户端验证DNS数据以及数据的完整性的源,确保DNS响应没有改变航路和被查询的域名权威服务器提供。
“在过去的几个季度,Akamai已经观察并减轻很多DNS反射和放大DDoS攻击,滥用DNSSEC配置域,”Akamai的研究人员在星期二发布的一个咨询。
公司已观察到同样的DNSSEC配置域名被滥用的DDoS放大攻击不同行业的目标。
一个单独的Akamai星期二发布了几个咨询的DDoS活动今年对麻省理工学院的网络。其中一个攻击发生在四月,引发cpsc.gov和isc.org反应用DNS反射,两DNSSEC启用域名。
“域名所有者本身没有错,不要觉得这些攻击的影响,”Akamai的研究人员说。”攻击者滥用开放的解析器发送弹幕欺骗DNS查询的IP来源是麻省理工的目标IP。大多数这些服务器将缓存初始响应,所以不向权威的名称服务器上的多个查询。”
不幸的是,DNS是不是唯一的协议,可用于DDoS放大。NTP,CHARGEN和SSDP协议也常用这种攻击,不幸的是,只要错误配置的服务器和设备都可以在互联网上,这种技术将继续受到攻击。
|
|