Mystisk angribere har taget ned en sydafrikansk internet udbyder i løbet af weekenden hjælp af et DDoS-teknik, der kaldes tæppe bombning, ZDNet har lært.
DDoS-angreb fandt sted lørdag og søndag, September 21 og 22, og har målrettet Fede Idéer, der er en af sydafrikas største Internetudbydere.
I løbet af DDoS, angribere held til at bringe ned Fede Idéer “eksterne forbindelser til andre Isp’ er, som kan ses fra open source-rapportering.
Billede via ihr.iijlab.net
Som et resultat af dette angreb, Fede Idéer kunder oplevede “intermitterende forbindelse tab og forringet ydeevne” for nogen forbindelse forsøger at få adgang til en international service eller hjemmeside, selskabet sagde på sin offentlige status side.
Hader det faktum, at du forsøger at bruge fancy teknisk sprog i din meddelelse af ddos-angreb.. “international trafik” bare bruge almindeligt simpelt engelsk og fortælle folk, at alle fede idéer kunder ikke vil være i stand til at få adgang til alle hjemmesider. Folk vil sætte pris på ærlighed.
— OldManChad (@chad01209778) September 22, 2019
Angribere lanceret et opfølgende angreb
Mens Fede Idéer ikke reagerer på en anmodning om at kommentere, at ZDNet sendt i går, Paul Butschi, Fede Idéer medstifter, fortalte en lokal nyheder stikkontakt, at angriberne holdt øje med, hvordan ISP håndteres angrebet, og de reagerede i overensstemmelse hermed.
Så snart Fede Idéer formået at afbøde de første DDoS-angreb bølge og meddelte, at det var langsomt genoptage service, et andet af DDoS-angreb rammer inden for få minutter, tage ned ISP ‘ s systemer igen.
Hertil kommer, at Butschi viste, at dette var den anden store DDoS-angreb udbyderen konfronteret med en anden ramme virksomheden på September 11.
Billede via ioda.caida.org
Desuden, tidligere i dag, en fjerde angreb ramte ISP igen. I modsætning til det første angreb, denne ene ramte ISP ‘ s hjemmeside, snarere end dens netværk, ZDNet lærte fra en kilde, der ønskede at forblive anonym, men forudsat beviser for angrebet.
DNS+CLDAP forstærkning angreb, tæppe bombning-stil
Alle de angreb, der har ramt Fede Idéer var såkaldte amplification DDoS-angreb, som gearede DNS og CLDAP protokoller.
Hackere har sendt uønsket trafik til unpatched DNS og CLDAP servere, som igen afspejles trafik i retning af Fede Idéer’ netværk på en forstærket størrelse — derfor amplification DDoS angreb sigt.
Men hvad stod ud af var, at hackere ikke udføre en klassisk DDoS-angreb, hvor de gik efter en central server i Fede Idéer’ netværk.
I stedet brugte de en teknik, der er kendt som tæppe bombning, hvor de sendte junk DDoS-trafik til tilfældige IP-adresser i Fede Idéer’ netværk.
Under et tæppe bombning angreb, alle kunde på Fede Idéer’ netværk modtaget nogle uønsket trafik. Uønsket trafik ikke var stort nok til at bringe ned hver kundens forbindelse; dog, det var stort nok til at overvælde af de servere, der sidder på Fede Idéer’ netværk grænse, som gik ned, og til sidst bragt ned ISP ‘ s eksterne tilslutningsmuligheder som godt.
Tæppe-bombe kan omgå rudimentære DDoS-beskyttelse
Man kan undre sig over, hvorfor ikke angribere mål Fede Idéer’ kant servere direkte, til at begynde med. Årsagen er ganske simpel-fordi disse systemer er beskyttet af DDoS-beskyttelse løsninger og ville have sinkholed al uønsket trafik, før det kunne gøre nogen skade.
Ved at sigte mod DDoS angreb på tilfældige IPs i Fede Idéer’ IP-adresse pool, DDoS-beskyttelse system ikke se et DDoS-angreb med henblik på et bestemt mål, men snarere så høje niveauer af trafik på vej til tusindvis af ISP ‘ s kunder. Underlige og unormale, men ikke hvad en klassisk DDoS-angreb ser ud.
Som DDoS trafikken voksede, edge-routere, der var langsomt overvældet og til sidst styrtede ned, alt imens DDoS-beskyttelse løsning kunne ikke finde nogen angreb.
I et interview med ZDNet, netværk, sikkerhed, forsker Preston Tucker sagde, at tæppe bombning er en teknik, der er “overvejende anvendes mod Internetudbydere” og normalt ikke anvendes andre steder.
“Denne teknik frustrerer rudimentære afbødning af optioner såsom black-hole-routing, mens også unddrage sig flow-baseret detektion,” Preston har fortalt os.
DDoS-angreb på ISPs er ikke så svært at trække off
Desuden, mens man kunne tro, at bringe ned en hel internet-udbyder er en temmelig svær opgave at trække ud, virkeligheden er, at disse angreb sker ganske ofte.
For eksempel, angreb på hele Internetudbydere har sket før, og har målrettet Internetudbydere i Liberia og Cambodja, for blot at nævne de mest højprofilerede dem, der ZDNet, der er omfattet i tidligere rapporter. Begge var også tæppe bombning angreb.
“Generelt er disse angreb er succesfuld nok til at forårsage hele netværket til at afbrydelser i tjenesten og langvarig afmatning,” Preston fortalte ZDNet om nogle af de angreb, han har set, rettet mod Internetudbydere.
“Nogle gange angreb er timet i løbet af peak-browsing timer til at frustrere brugerne endnu mere,” sagde han. “Bestemmes angribere synes at være motiveret til at forårsage så megen utilfredshed som muligt for kunden, hvilket resulterer i tab for udbyder såvel som dårlige presse.”
Desuden angribere ikke altid brug for et stort DDoS-botnet til at forstyrre Internetudbydere, de er heller ikke behov for konstant hammer en tjenesteudbyders netværk med uønsket trafik.
“Dage lange angreb rettet mod Internetudbydere er ikke uhørt, men korte byger timet til at afbryde tjenesten i myldretiden kan være lige så effektiv,” sagde Preston. “Den store udbredelse af real-time applikationer såsom VOIP og spil betyder, at slutbrugerne forvente en pålidelig forbindelse uden pakketab.”
Men Preston sagde også, at i dag er de fleste Internetudbydere har værktøjer til at imødegå disse angreb. De kan For eksempel installere PRIKKER (DDoS Åbne Trussel Signalering) protokol om DDoS-beskyttelse platforme og arbejde sammen for at jordfaldshul dårlig trafik, der tager sigte på en af de deltagende medlemmer, længe før den når til det valgte netværk.
Desuden Preston påpeger også, at løsninger som BGP flowspec kan også hjælpe med at Internetudbydere forhindre DDoS-angreb, der bruger tæppe bombning tilgang. [Mere om dette emne i videoen nedenfor-en præsentation på BGP flowspec af Charter-sikkerhed ingeniør Taylor Harris.]
DDoS tæppe bombning teknik er ikke noget nyt. Det er blevet dokumenteret i mere end et årti. DDoS-beskyttelse firma Netscout bemærket i en nylig præsentation, der løber bombeangreb har spidse i 2018.
Netscout forskere skylden for den teknik, der er stigende i popularitet på spredningen i de seneste år af DDoS botnets og DDoS-til-leje service. I dag, den teknik, der er blevet meget udbredt, og er nu ofte set i angreb på store mål, der er stort nok til at have deres eget nummer, og IP-adresse pools, såsom Internetudbydere, datacentre, web-hosting virksomheder, cloud-udbydere, eller stor virksomhed-netværk.
Hvis nogen af disse selskaber undladt at investere i moderne DDoS-beskyttelse værktøjer og protokoller, de er ofte udsat for afbrydelser som følge heraf. Indtil de fleste af disse virksomheder gør at opgradere deres beskyttelse, DDoS-tæppe bombning, vil stadig være en trussel, selv hvis der er mange løsninger til at beskæftige sig med denne type af DDoS-angreb, der allerede er.
Sikkerhed
Kære netværk operatører, kan du bruge de eksisterende værktøjer til at lave sikkerhed
Massiv bølge af hensyn kaprer hits på YouTube skabere
Apple kastreret ad-blokering i Safari, men i modsætning til Chrome, brugere ikke kan sige en ting
GDPR et år senere: De udfordringer, organisationer står stadig over for (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Regeringer, der stadig kæmper for at slås med weaponized sociale medier platforme (TechRepublic)
Relaterede Emner:
Datacentre
Sikkerhed-TV
Data Management
CXO