Интернет атаки

imagesСегодняшние атаки, которые перегружают сервис поиска интернет-адресов, предоставленные Dyn были хорошо скоординированы и тщательно закрывают центры обработки данных по всему земному шару, лишая клиентов возможности достичь более 1200 доменов, которыми заведовал Dyn. Атаки все еще продолжаются, согласно службе мониторинга сети ThousandEye.

Служба Dyn принимает интернет-адреса написанные на человеческом языке, такие как www.networkworld.com, и поставляет IP-адреса, связанные с ними, чтобы маршрутизаторы смогли направлять трафик в нужные места.

По данным Dyn, атака предотвращает трафик клиентов от достижения Dyn, который включает в себя такие сервисы, как Amazon, Etsy, GitHub, Shopify, Twitter и New York Times.

Наступательная сила DDoS включает от 50000 до 100000 устройств Интернет вещей, таких как камеры и цифровые видеорегистраторы, порабощенные в ботнете Mirai, а также неизвестное количество других устройств, которые являются частью других ботнетов, говорит Дейл Дрю, главный технический директор 3-го уровня.

Кажется, тщательное планирование атак может говорить о достижении цели, при которой можно гарантировать, что службы Dyn будут искалечены во всем мире, говорит Ник Кепхарт, аналитик ThousandEyes.

Он говорит, что первая волна атаки выступила против трех центров обработки данных Dyn — Чикаго, Вашингтон, округ Колумбия, и Нью-Йорке — в основном, влияющих на восточное побережье США, так как DNS-запросы направляются в ближайший центр обработки данных.

Вторая волна ударила по 20 Dyn центрамобработки данных по всему миру. Эта фаза атаки требует тщательного планирования. Так как запрос DNS переходит к ближайшему DNS-серверу, это означает, что злоумышленник должен был планировать успешную атаку для каждого из 20 центров обработки данных. Это означает, что нужно иметь достаточно ботов в каждом регионе, чтобы иметь возможность снять местные услуги Dyn, говорит он.

Дрю говорит, что нападение состояло в основном из TCP SYN наводнений, направленных непосредственно на порт против 53 DNS-серверов Dyn, но также присутствовала и так называемая атака подобласти. Вот когда злоумышленники отправляли запросы DNS на сервер для домена, цель которого является авторитетной. Они запускали на домен случайные обозначения подсети. Сервер не имел их в своем кэше и ему приходилось искать их, подрывая вычислительные ресурсы и эффективно предотвращая сервер от обработки законного трафика, говорит он.

Если бы атака была против только одного домена, это означало бы, что злоумышленник хотел причинить вред владельцу этого домена, говорит он. В этом случае, атака была по всему спектру областей Dyn, указывая на то, что целью было прерывания услуг Dyn.

Он говорит, что Mirai стоит позади гигантских ботнетов, которые были вовлечены. Около 10% до 20% от общего числа 500000 известных ботов Mirai участвовали в атаке, но были и другие устройства.

Дрю говорит, что инженеры 3-го уровня пытаются выяснить, сколько различных устройств во всех уголках мира были вовлечены в нападения.

ThousandEyes наблюдал клиентов DYN, которые либо собираются найти провайдеров резервного DNS, как это сделал Amazon, или подписать контракт с альтернативным, как это сегодня после нападения сделал PayPal.

 

Запись опубликована в рубрике Безопасность. Добавьте в закладки постоянную ссылку.