ทำความเข้าใจกับการโจมตีของ spamhaus

การปฏิเสธการให้บริการแบบกระจายเป็นหัวข้อของวันนี้เนื่องจากการโจมตี DDoS ครั้งใหญ่เมื่อเร็ว ๆ นี้โดย CyberBunker เว็บโฮสต์ชาวดัทช์จากหน่วยงานต่อต้านสแปม SpamHaus ความเสียหายของหลักประกันมีความสำคัญเพียงใดต่อส่วนที่เหลือของอินเทอร์เน็ต CloudFlare บริษัท รักษาความปลอดภัยบนเว็บที่เกี่ยวข้องโดยตรงกับการป้องกัน SpamHaus จากการโจมตีเปรียบเสมือนกับระเบิดนิวเคลียร์ แต่ Keynote Systems ซึ่งเป็น บริษัท ที่ติดตามความพร้อมใช้งานของเว็บไซต์และเวลาตอบสนองกล่าวว่าไม่มากไปกว่าการปิดบัง

ไม่ว่าผลกระทบใด ๆ ต่ออินเทอร์เน็ตโดยรวมไม่มีใครปฏิเสธว่าการโจมตีนี้ซึ่งมีความเร็วถึง 300 Gbps เป็นการโจมตี DDoS ที่ใหญ่ที่สุดที่เคยบันทึกไว้ แต่การโจมตี DDoS คืออะไรและการป้องกันแบบใดที่มีให้?

การโจมตีทำงานอย่างไร

การโจมตีแบบปฏิเสธการให้บริการเพียงแค่โหลดเซิร์ฟเวอร์ของเหยื่อมากเกินไปโดยทำให้ข้อมูลล้นเกินกว่าที่เซิร์ฟเวอร์สามารถจัดการได้ สิ่งนี้สามารถรบกวนธุรกิจของเหยื่อหรือทำให้เว็บไซต์ล้มเหลว การเปิดตัวการโจมตีดังกล่าวจากที่ตั้งเว็บเดียวนั้นไม่ได้ผลเนื่องจากเหยื่อสามารถปิดกั้นการรับส่งข้อมูลได้อย่างรวดเร็ว ผู้โจมตีมักเรียกใช้การโจมตีแบบปฏิเสธการให้บริการ (Distributed Denial of Service) จากการโจมตีด้วยคอมพิวเตอร์ไร้เคราะห์หลายพันเครื่องที่ควบคุมโดยบ็อตเน็ต

David Gibson รองประธานฝ่ายกลยุทธ์สำหรับ บริษัท การป้องกันข้อมูลระดับโลก Varonis อธิบายกระบวนการในแง่ง่าย ๆ "ลองนึกภาพผู้โจมตีบางคนสามารถปลอมแปลงหมายเลขโทรศัพท์ของคุณเพื่อให้หมายเลขของคุณปรากฏบนโทรศัพท์ของผู้อื่นเมื่อผู้โจมตีโทรเข้า" เขากล่าว "ตอนนี้ลองนึกภาพผู้โจมตีเรียกคนจำนวนมากและวางสายก่อนที่จะตอบคุณอาจได้รับสายอีกจำนวนหนึ่งจากคนเหล่านั้น … ลองจินตนาการว่าผู้โจมตีหลายพันคนกำลังทำสิ่งนี้อยู่ - คุณต้องเปลี่ยนโทรศัพท์ของคุณอย่างแน่นอน หมายเลขมีสายเพียงพอระบบโทรศัพท์ทั้งหมดจะไม่สมบูรณ์ "

ต้องใช้เวลาและความพยายามในการตั้งค่า botnet หรือเงินเพื่อเช่า แทนที่จะโจมตีปัญหาดังกล่าวการโจมตีของ CyberBunker ใช้ประโยชน์จากระบบ DNS ซึ่งเป็นองค์ประกอบที่สำคัญอย่างยิ่งของอินเทอร์เน็ตในปัจจุบัน

CyberBunker ตั้งอยู่เซิร์ฟเวอร์ DNS นับหมื่นนับพันที่เสี่ยงต่อการปลอมแปลงที่อยู่ IP กล่าวคือส่งคำขอเว็บและส่งคืนที่อยู่ผู้ส่ง ข้อความค้นหาขนาดเล็กจากผู้โจมตีส่งผลให้มีการตอบสนองนับร้อยครั้งและการตอบสนองครั้งใหญ่ทั้งหมดนั้นส่งผลกระทบต่อเซิร์ฟเวอร์ของเหยื่อ ขยายตัวอย่างของกิบสันราวกับว่าการโทรของผู้โจมตีแต่ละคนเปลี่ยนหมายเลขของคุณให้เป็นนักการตลาดทางโทรศัพท์ที่บ้าคลั่ง

สิ่งที่สามารถทำได้

จะดีหรือไม่ถ้ามีคนประดิษฐ์เทคโนโลยีเพื่อสกัดกั้นการโจมตีดังกล่าว จริงๆแล้วพวกเขามีเมื่อสิบสามปีก่อน ในเดือนพฤษภาคมปี 2000 คณะทำงานด้านวิศวกรรมอินเทอร์เน็ตได้ออกรายงานการปฏิบัติที่ดีที่สุดในปัจจุบันที่เรียกว่า BCP38 BCP38 กำหนดปัญหาและอธิบาย "วิธีการที่ง่ายมีประสิทธิภาพและตรงไปตรงมา … เพื่อห้ามการโจมตี DoS ซึ่งใช้ที่อยู่ IP ปลอมแปลง"

“ 80 เปอร์เซ็นต์ของผู้ให้บริการอินเทอร์เน็ตได้ดำเนินการตามคำแนะนำใน BCP38 เรียบร้อยแล้ว” กิบสันกล่าว "เป็นส่วนที่เหลืออีก 20 เปอร์เซ็นต์ที่ยังคงรับผิดชอบต่อการอนุญาตให้มีการรับส่งข้อมูลปลอมแปลง" กิ๊บสันกล่าวว่า“ ถ้าคิดว่าคนขับ 20 เปอร์เซ็นต์บนท้องถนนไม่เชื่อฟังสัญญาณจราจร - มันจะไม่ปลอดภัยที่จะขับอีกต่อไป”

ล็อคมันลง

ปัญหาด้านความปลอดภัยที่อธิบายที่นี่เกิดขึ้นในระดับวิธีเหนือคอมพิวเตอร์ที่บ้านหรือธุรกิจของคุณ คุณไม่ใช่คนที่สามารถหรือควรใช้วิธีแก้ปัญหา นั่นเป็นงานสำหรับแผนกไอที ที่สำคัญพวก IT ต้องจัดการความแตกต่างระหว่างเซิร์ฟเวอร์ DNS สองชนิดที่แตกต่างกันอย่างถูกต้อง Corey Nachreiner, CISSP และผู้อำนวยการฝ่ายกลยุทธ์ความปลอดภัยสำหรับ WatchGuard บริษัท รักษาความปลอดภัยเครือข่าย

"เซิร์ฟเวอร์ DNS ที่มีสิทธิ์เป็นสิ่งที่บอกส่วนที่เหลือของโลกเกี่ยวกับโดเมนหรือองค์กรของคุณ" Nachreiner กล่าว "เซิร์ฟเวอร์ที่มีสิทธิ์ของคุณควรมีให้ทุกคนบนอินเทอร์เน็ตอย่างไรก็ตามควรตอบสนองต่อการสอบถามเกี่ยวกับโดเมนของ บริษัท ของคุณเท่านั้น" นอกเหนือจากเซิร์ฟเวอร์ DNS ที่มีสิทธิ์ออกไปด้านนอกแล้ว บริษัท ต่างๆยังต้องการเซิร์ฟเวอร์ DNS แบบเรียกซ้ำโดยหันเข้าด้านใน "เซิร์ฟเวอร์ DNS แบบเรียกซ้ำมีวัตถุประสงค์เพื่อจัดหาการค้นหาโดเมนให้กับพนักงานของคุณทุกคน" Nachreiner อธิบาย "ควรจะสามารถตอบคำถามเกี่ยวกับเว็บไซต์ทั้งหมดบนอินเทอร์เน็ตได้ แต่ควรตอบกลับ เฉพาะ คนในองค์กรของคุณเท่านั้น"

ปัญหาคือเซิร์ฟเวอร์ DNS แบบเรียกซ้ำจำนวนมากไม่ได้ จำกัด การตอบสนองต่อเครือข่ายภายในอย่างถูกต้อง เพื่อให้การโจมตี DNS สะท้อนสำเร็จผู้ร้ายเพียงแค่ต้องค้นหาเซิร์ฟเวอร์ที่กำหนดค่าไม่ถูกต้องจำนวนมาก "ในขณะที่ธุรกิจต้องการเซิร์ฟเวอร์ DNS แบบเรียกซ้ำสำหรับพนักงานของพวกเขา" Nachreiner สรุป "พวกเขาไม่ควรเปิดเซิร์ฟเวอร์เหล่านี้เพื่อร้องขอจากใครก็ตามบนอินเทอร์เน็ต"

Rob Kraus ผู้อำนวยการฝ่ายวิจัยของทีมวิจัยด้านวิศวกรรมของ Solutionary (SERT) กล่าวว่า "การรู้ว่าสถาปัตยกรรม DNS ของคุณมีลักษณะเป็นอย่างไรจากภายในและภายนอกสามารถช่วยระบุช่องว่างในการปรับใช้ DNS ขององค์กร" เขาแนะนำให้แน่ใจว่าเซิร์ฟเวอร์ DNS ทั้งหมดได้รับการแพตช์และรักษาความปลอดภัยตามมาตรฐาน เพื่อให้แน่ใจว่าคุณทำถูกต้องแล้ว Kraus แนะนำว่า "การใช้แบบฝึกหัดการแฮ็กจริยธรรมช่วยเปิดเผยการกำหนดค่าผิดพลาด"

ใช่มีวิธีอื่นในการเริ่มการโจมตี DDoS แต่การสะท้อน DNS นั้นมีประสิทธิภาพเป็นพิเศษเนื่องจากเอฟเฟกต์การขยายซึ่งปริมาณการรับส่งข้อมูลขนาดเล็กจากผู้โจมตีทำให้เกิดเหยื่อจำนวนมาก การปิดถนนสายนี้อย่างน้อยจะบังคับให้อาชญากรไซเบอร์สร้างการโจมตีรูปแบบใหม่ นั่นคือความคืบหน้าของการจัดเรียง