fuente original
http://thehackernews.com/2013/04/who-needs-botnet-when-you-have-4-gbps.html
traducido por soymaquero
En los últimos meses el mundo DDoS ha pasado de pequeños ataques de botnets complejos a escala mucho más grande base de los ataques DDoS de red, perpetrados principalmente por los servidores Web secuestrados. ¿Cuántos de estos servidores secuestrados están fuera aún queda por verse. Sin embargo, recientemente hemos conseguimos una muy buena idea de lo grande que estos cañones DDoS están recibiendo.
El sábado pasado mitigado un lugar pequeño, un ataque DDoS 4 Gbps, pero esta vez tenía un patrón diferente que atrajo nuestra atención.
A primera vista, el ataque parecía bastante simple, generando 8 millones de consultas al DNS por segundo, a muchos ámbitos, desde las direcciones IP simuladas (mediante servidores reales de nombres de dominio IPs). Pero esta vez incluyó una pista acerca de dónde venía: todo lo que el tráfico iba a venir de la misma fuente. Probablemente, en la misma red, tal vez incluso el mismo dispositivo
Seguimiento a una sola fuente - TTL Giveaway
Hemos sido capaces de rastrear el ataque a una sola fuente, porque esta vez los atacantes cayó en marcha y no se selecciona aleatoriamente las solicitudes jefes de equipo, por lo que todo el tráfico que llegan con la misma IP TTL.
El parámetro TTL es parte del Protocolo de Internet. Es un campo que designa el número de routers se permite un paquete que pasar antes de que expirara. Cada enrutador largo del camino disminuye el contador, hasta que expire (muchas herramientas de diagnóstico, como traceroute utiliza este atributo). Por supuesto, al igual que muchos otros campos, su valor puede ser falso y aleatorio, pero es casi imposible de hacer millones de paquetes procedentes de muchas fuentes tienen la misma TTL cuando llegan a su destino. Y esto es exactamente lo que vimos.
Son servidores de nombres autorizados siguiente en la lista exploit?
Otro punto interesante que vimos, es que las direcciones suplantadas pertenecían a los servidores DNS, pero no todos estaban abiertos resolución de DNS. De hecho, muchas de estas IPs eran de servidores de nombres autorizados.
La razón de la selección no aleatoria de IPs era evitar los mecanismos de listas negras. Pero significa que los hackers también están recolectando información sobre los servidores de nombres autorizados. El uso de estos en los ataques de reflexión es un poco más complicado (que significa la construcción de una base de datos de dominios con grandes respuestas DNS), con un factor de amplificación mucho más pequeños, pero son mucho más difíciles de bloquear que abren resolución de DNS.
Así que ... ¿qué significa esto?
Esto significa que las apuestas acaba de conseguir más alto. Sólo por comparación, a razón de este ataque, si hubiera utilizado la amplificación DNS, con un factor medio de amplificación de 50 - habría generado un ataque DDoS + 200 Gbps, todo desde una sola fuente / de la computadora!
¿Qué sabemos acerca de esta fuente?
Es ya sea hardware personalizado, o un grupo de máquinas que comparten la misma red.
Es (casi) imposible que una sola máquina para generar este tipo de tráfico.
Podría utilizar 4 Gbps de ancho de banda ascendente, sin que nadie se diera cuenta.
Hoy en día no hace falta ser un botnet para lanzar ataques DDoS masivos. Ni siquiera se toman cientos de servidores, de varios proveedores de hosting. Hoy en día, este tipo de potencia de fuego masiva puede obtenerse a partir de un solo cañón DDoS, desde una única ubicación y tal vez incluso un solo servidor.
Stay Safe
Gur Shatz, Incapsula CEO y Co-Fundador
.jpg)
No hay comentarios:
Publicar un comentario
Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias