Mystiska angripare har tagit ner en sydafrikansk internet service provider under helgen med hjälp av en DDoS-teknik som kallas bombmattor, ZDNet har lärt sig.
DDoS-attacker ägde rum på lördag och söndag, September 21 och 22, och har riktat Coola Idéer, en av sydafrikas största Internetleverantörer.
Under DDoS, anfallare lyckats med att få ner Coola Idéer ” externa anslutningar till andra Internetleverantörer, som kan ses från open-source rapporteringsverktyg.
Bild via ihr.iijlab.net
Som ett resultat av denna attack, Coola Idéer kunder upplevt “intermittent anslutning förlust och försämrad prestation” för varje anslutning som försöker få tillgång till en internationell tjänst eller webbplats, som företaget säger på sin offentliga statussida.
Hatar det faktum att du försöker använda fina tekniska språket i din tillkännagivandet av ddos-attack.. “internationell trafik” använd bara vanlig enkel engelska och berätta för folk att alla coola idéer klienter kommer inte att kunna komma åt alla webbplatser. Människor kommer att uppskatta ärlighet.
— OldManChad (@chad01209778) September 22, 2019
Angriparna lanserat en uppföljning attack
Medan Coola Idéer inte svara på en begäran om kommentar om att ZDNet skickat igår, Paul Butschi, Coola Idéer grundare, sade en lokal nyheterna att angriparna höll ett öga på hur ISP hanteras attacken och de reagerade därefter.
Så snart som Coola Idéer hanteras för att mildra den första DDoS-attack våg och meddelade att det var långsamt att återuppta service, en annan DDoS-attack hit inom några minuter, ta ner ISP: s system igen.
Dessutom Butschi avslöjade att detta var det andra stora DDoS-attack leverantören står inför, med en annan slå bolaget den 11 September.
Bild via ioda.caida.org
Dessutom, tidigare idag, en fjärde attack hit ISP igen. Till skillnad från den första-attacker, är detta en träff ISP: s webbplats, snarare än dess nätverk, ZDNet lärt sig från en källa som ville vara anonym men som bevis för att attacken.
DNS+CLDAP förstärkning attacker bombmattor stil
Alla attacker som drabbat Coola Idéer var så kallade DDoS-amplifiering attacker som lånefinansierade DNS och CLDAP protokoll.
Hackare skickas skräp trafik till unpatched DNS och CLDAP servrar, vilket i sin tur återspeglas trafik till Coola Idéer ” – nätverket på en förstärkt storlek — därmed DDoS-amplification attack sikt.
Men det som stod ut var att hackare inte göra en klassisk DDoS-attack där de gick efter en central server i Coola Idéer ” – nätverket.
Istället använde de sig av en teknik som kallas bombmattor, där de skickade skräp DDoS trafik till random IP-adresser i Coola Idéer ” – nätverket.
Under en bombmattor attack, alla som kund på Coola Idéer ” – nätverket fått en del skräp trafik. Skräp trafik inte var tillräckligt stor för att få ner varje kunds anslutning, men det var tillräckligt stor för att överbelasta servrar sitter på Coola Idéer ” – nätverket gränsen, som gick ner och tog så småningom ner ISP: s yttre anslutning samt.
Bombmattor kan kringgå rudimentär DDoS begränsning
Man kan undra varför inte attacker riktar Häftiga Idéer för edge-servrar direkt, till att börja med. Anledningen är ganska enkel-eftersom dessa system var skyddade av DDoS-lösningar för att minska och skulle ha sinkholed allt skräp trafik innan det kunde göra någon skada.
Genom att sträva efter DDoS-attack på måfå IPs i Coola Idéer IP-adress pool, DDoS-reduktion systemet inte se en DDoS-attack riktad till en viss målgrupp, men såg istället höga nivåer av trafik på väg till tusentals av ISP: s kunder. Konstig och onormal, men inte vad en klassisk DDoS-attack ser ut.
Som DDoS-trafiken ökade, edge routrar var långsamt överväldigad och kraschade till slut, allt medan de DDoS riskreducerande lösning gick inte att upptäcka eventuella angrepp.
I en intervju med ZDNet, nätsäkerhet forskare Preston Tucker säger att bombmattor är en teknik som är “huvudsakligen används mot ISPs” och vanligen inte används någon annanstans.
“Denna teknik frustrerar rudimentär riskreducerande alternativ som svart-hål-routing samtidigt kringgå flow-baserad detektion,” Preston berättade för oss.
DDoS-attacker på Internetleverantörer är inte så svårt att dra av
Dessutom, samtidigt som man skulle kunna tro att genom att föra ner en hel internet service provider är en ganska svår uppgift att dra av, verkligheten är att dessa attacker hända ganska ofta.
Till exempel attacker på hela Internetleverantörer har hänt förut, och har riktat Internetleverantörer i Liberia och Kambodja, bara för att nämna de mest uppmärksammade de som ZDNet omfattas i tidigare rapporter. Båda var också matta bombattacker.
“I allmänhet är dessa attacker är framgångsrik nog att orsaka nätverk-omfattande trafikstörningar och långvariga nedgångar,” Preston berättade ZDNet om några av de attacker han har sett inriktning Internetleverantörer.
“Ibland attacker är tidsinställda under rusningstid surfar timmar för att hindra användare ännu mer,” sade han. “Beslutsam angripare ser ut att vara motiverade för att orsaka så mycket missnöje som möjligt för kunden, vilket resulterar i förluster för leverantör och dåligt tryck.”
Dessutom angripare inte alltid behöver en stor DDoS botnet för att störa Isp, ej heller behöver de ständigt hammare en leverantör med skräp trafik.
“Dagar långa attacker som riktas mot Internetleverantörer är inte ovanligt, men korta skurar tidsmässigt för att störa tjänsten vid rusningstid kan vara lika effektiv,” Preston sagt. “Den gränslösa realtidsapplikationer såsom ip-telefoni och spel innebär slutanvändare förväntar sig en tillförlitlig anslutning utan paketförluster.”
Men Preston sade också att det numera, de flesta Internetleverantörer har verktyg för att mildra effekterna av sådana attacker. Till exempel kan de utnyttja de PUNKTER (DDoS Öppna Hot Signalering) protokoll om DDoS begränsning plattformar och arbeta tillsammans för att sinkhole dålig trafik som syftar till att en av de deltagande medlemmarna lång tid innan det når målet nätverk.
Dessutom, Preston påpekar också att lösningar som BGP flowspec kan också hjälpa till att Internetleverantörer att förhindra DDoS-attacker som använder bombmattor strategi. [Mer om detta ämne i videon nedan-en presentation om BGP flowspec av Stadgan säkerhet ingenjören Taylor Harris.]
DDoS-bombmattor teknik är inte något nytt. Det är dokumenterats under mer än ett decennium. DDoS begränsning fast Netscout konstaterade nyligen i en presentation som matta bombattacker har spetsade 2018.
Netscout forskare skyllde den teknik som ökar i popularitet på spridning under de senaste åren av DDoS-botnät och DDoS-för-hyra tjänster. Idag, den tekniken har blivit stor utsträckning, och är nu ofta i attacker mot stora mål stor nog att ha ett eget AS-nummer och IP-adress pooler, såsom Internetleverantörer, data centers, webbhotell företag som tillhandahåller moln, eller i ett stort företagsnätverk.
Om något av dessa företag misslyckades med att investera i moderna DDoS begränsning verktyg och protokoll, att de ofta drabbas av strömavbrott som följd. Tills de flesta av dessa företag göra uppgradera deras skydd, DDoS bombmattor kommer fortfarande att vara en närvarande hotet, även om det finns många lösningar för att hantera denna typ av DDoS-attack redan.
Säkerhet
Kära operatörer, vänligen använda befintliga verktyg för att fastställa säkerhet
Massiv våg av konto kapar träffar på YouTube skapare
Apple kastrerad ad blockerare i Safari, men till skillnad från Chrome-användare inte säga en sak
GDPR ett år senare: De utmaningar som organisationer möter fortfarande (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
Regeringar som fortfarande kämpar för att brottas med weaponized sociala medier plattformar (TechRepublic)
Relaterade Ämnen:
Datacenter
Säkerhet-TV
Hantering Av Data
CXO