视频: Remove Blacklist CBL RATS NoPtr SPAMCOP Spamhaus Zen from MXToolBOX (十一月 2024)
无论对Internet的总体影响如何,没有人会否认这种攻击(达到300 Gbps的峰值)是有史以来最大的DDoS攻击。 但是,什么 是 DDoS攻击?有哪些可用的防御措施?
攻击如何进行
“拒绝服务”攻击只是通过向受害者的服务器填充数据(服务器无法处理的更多数据)而使服务器过载。 这可能会破坏受害者的业务,或使其网站离线。 从受害者的单个位置发起这样的攻击是无效的,因为受害者可以迅速阻止该流量。 攻击者经常通过由僵尸网络控制的数千台不幸的计算机发起分布式拒绝服务攻击。
全球数据保护公司Varonis的战略副总裁David Gibson简单地解释了这一过程。 他说:“想像一些攻击者可以欺骗您的电话号码,以便当攻击者打来电话时,您的电话号码会显示在其他人的电话上。” “现在想象攻击者打电话给一群人并挂断电话,然后他们接听。您可能会从这些人那里接到一堆电话……现在想象成千上万的攻击者正在这样做-您肯定需要更换手机如果通话次数过多,整个电话系统将受到损害。”
建立僵尸网络需要花费时间和精力,或者花费金钱来租用一个僵尸网络。 CyberBunker的攻击并没有带来麻烦,而是利用了DNS系统的优势,DNS系统是当今Internet绝对必要的组成部分。
CyberBunker找到了数以万计的DNS服务器,这些服务器容易受到IP地址欺骗的攻击,即发送Web请求并伪造返回地址。 攻击者发出的一个小查询所产生的响应是原来的数百倍,所有这些大响应都击中了受害者的服务器。 扩展Gibson的示例,就好像攻击者的每个电话都将您的电话号码转到了狂热的电话推销员手中。
可以做什么?
如果有人会发明技术来阻止此类攻击,那岂不是很好吗? 实际上,十三年前他们已经拥有了。 2000年5月,Internet工程任务组发布了称为BCP38的“最佳当前实践”论文。 BCP38定义了问题,并描述了“一种简单,有效且直接的方法……来禁止使用伪造IP地址的DoS攻击”。
吉布森说:“ 80%的互联网提供商已经在BCP38中实施了建议。” “剩下的20%仍然负责允许欺骗的流量。” 简而言之,吉布森说:“想像一下,如果路上有20%的驾驶员不遵守交通信号,那就再也不安全了。”
锁定它
此处描述的安全问题是在家庭或商用计算机之上的一种级别上发生的。 您不是可以或应该实施解决方案的人。 这是IT部门的工作。 重要的是,IT人员必须正确管理两种不同类型的DNS服务器之间的区别。 CISSP兼网络安全公司WatchGuard安全策略主管Corey Nachreiner解释说。
Nachreiner说:“权威的DNS服务器可以告诉世界其他地区您公司或组织的域名。” “您的权威服务器应该对Internet上的任何人都可用,但是,它只应响应有关您公司域的查询。” 除了面向外部的权威DNS服务器之外,公司还需要面向内部的递归DNS服务器。 Nachreiner解释说:“递归DNS服务器旨在为所有员工提供域查找。” “它应该能够回答有关Internet上所有站点的查询,但是它 只能 回答组织中的人员。”
问题是,许多递归DNS服务器不能正确地限制对内部网络的响应。 为了完成DNS反射攻击,坏蛋只需要找到一堆错误配置的服务器。 Nachreiner总结说:“尽管企业确实需要为其雇员提供递归DNS服务器,但它们不应向Internet上的任何人开放这些服务器。”
解决方案工程研究团队(SERT)的研究主管Rob Kraus指出:“从内部和外部了解DNS架构的真正外观可以帮助您发现组织DNS部署中的空白。” 他建议确保所有DNS服务器都已完全打补丁并按照规范进行保护。 为了确保您做对了,克劳斯建议“使用合乎道德的黑客练习有助于发现错误的配置”。
是的,还有其他方法可以发起DDoS攻击,但是DNS反射由于放大效应而特别有效,其中来自攻击者的少量流量会产生大量进入受害者的流量。 关闭此特定途径至少会迫使网络犯罪分子发明新型攻击。 这是某种程度的进步。
