Rumah Jam keamanan Memahami serangan spamhaus ddos

Memahami serangan spamhaus ddos

Video: PCH's Bill Woodcock explains the DDOS attack on Spamhaus (Desember 2024)

Video: PCH's Bill Woodcock explains the DDOS attack on Spamhaus (Desember 2024)
Anonim

Denial of Service Terdistribusi adalah topik hari ini, karena serangan DDoS besar baru-baru ini oleh web host Belanda CyberBunker terhadap agen spam-memerangi SpamHaus. Seberapa signifikan kerusakan jaminan untuk sisa Internet? CloudFlare, sebuah perusahaan keamanan Web yang secara langsung terlibat dalam membela SpamHaus terhadap serangan itu, menyamakannya dengan bom nuklir, tetapi Keynote Systems, sebuah perusahaan yang melacak ketersediaan situs web dan waktu tanggapan, mengatakan itu tidak lebih dari sekadar blip.

Apa pun pengaruhnya di Internet secara keseluruhan, tidak ada yang menyangkal bahwa serangan ini, yang mencapai 300 Gbps, adalah serangan DDoS terbesar yang pernah tercatat. Tapi apa itu serangan DDoS, dan pertahanan apa yang tersedia?

Bagaimana Serangan Bekerja

Serangan Denial of Service hanya membebani server korban dengan membanjiri mereka dengan data, lebih banyak data daripada yang bisa ditangani oleh server. Ini dapat mengganggu bisnis korban, atau mengetuk situs webnya secara offline. Meluncurkan serangan seperti itu dari satu lokasi Web tidak efektif, karena korban dapat dengan cepat memblokir lalu lintas itu. Penyerang sering meluncurkan serangan Denial of Service Terdistribusi melalui ribuan komputer malang yang dikendalikan oleh botnet.

David Gibson, Wakil Presiden Strategi untuk perusahaan perlindungan data global Varonis, menjelaskan prosesnya secara sederhana. "Bayangkan beberapa penyerang dapat memalsukan nomor telepon Anda sehingga nomor Anda muncul di ponsel orang lain ketika penyerang memanggil, " katanya. "Sekarang bayangkan penyerang memanggil sekelompok orang dan menutup telepon sebelum mereka menjawab. Anda mungkin akan mendapat banyak panggilan kembali dari orang-orang itu… Sekarang bayangkan ribuan penyerang melakukan ini - Anda pasti harus mengganti telepon Anda nomor. Dengan cukup banyak panggilan, seluruh sistem telepon akan terganggu."

Dibutuhkan waktu dan upaya untuk membuat botnet, atau uang untuk menyewa botnet. Daripada pergi ke masalah itu, serangan CyberBunker mengambil keuntungan dari sistem DNS, komponen yang sangat penting dari Internet saat ini.

CyberBunker menemukan puluhan ribu server DNS yang rentan terhadap spoofing alamat IP - yaitu, mengirim permintaan Web dan memalsukan alamat pengirim. Permintaan kecil dari penyerang menghasilkan respons ratusan kali lebih besar, dan semua respons besar itu menghantam server korban. Memperluas contoh Gibson, seolah-olah setiap panggilan telepon penyerang mengubah nomor Anda menjadi telemarketer yang fanatik.

Apa yang bisa dilakukan?

Bukankah lebih baik jika seseorang akan menemukan teknologi untuk menggagalkan serangan seperti itu? Sebenarnya, mereka sudah memilikinya, tiga belas tahun yang lalu. Pada Mei 2000, Gugus Tugas Teknik Internet merilis makalah Praktik Lancar Terbaik yang dikenal sebagai BCP38. BCP38 mendefinisikan masalah dan menjelaskan "metode yang sederhana, efektif, dan langsung… untuk melarang serangan DoS yang menggunakan alamat IP palsu."

"80 persen penyedia internet sudah menerapkan rekomendasi di BCP38, " kata Gibson. "Itu 20 persen sisanya yang tetap bertanggung jawab untuk mengizinkan lalu lintas palsu." Secara sederhana, Gibson berkata, "Bayangkan jika 20 persen pengemudi di jalan tidak mematuhi sinyal lalu lintas - itu tidak lagi aman untuk dikendarai."

Kunci itu

Masalah keamanan yang dijelaskan di sini terjadi pada tingkat yang sama, jauh di atas komputer rumah atau bisnis Anda. Anda bukan orang yang bisa atau harus mengimplementasikan solusi; itu pekerjaan untuk departemen TI. Yang penting, orang-orang IT harus mengelola dengan benar perbedaan antara dua jenis server DNS yang berbeda. Corey Nachreiner, CISSP dan Direktur Strategi Keamanan untuk perusahaan keamanan jaringan WatchGuard, menjelaskan.

"Server DNS resmi adalah server yang memberi tahu seluruh dunia tentang domain perusahaan atau organisasi Anda, " kata Nachreiner. "Server otoritatif Anda harus tersedia untuk siapa saja di Internet, namun, server itu hanya menanggapi pertanyaan tentang domain perusahaan Anda." Selain server DNS berwawasan ke luar berwajah, perusahaan membutuhkan server DNS rekursif yang menghadap ke dalam. "Server DNS rekursif dimaksudkan untuk menyediakan pencarian domain untuk semua karyawan Anda, " jelas Nachreiner. "Seharusnya bisa menjawab pertanyaan tentang semua situs di Internet, tetapi seharusnya hanya membalas orang di organisasi Anda."

Masalahnya adalah, banyak server DNS rekursif tidak benar membatasi respons ke jaringan internal. Untuk melakukan serangan refleksi DNS, orang-orang jahat hanya perlu menemukan banyak server yang tidak dikonfigurasi dengan benar. "Meskipun bisnis memerlukan server DNS rekursif untuk karyawan mereka, " simpul Nachreiner, "mereka TIDAK HARUS membuka server ini untuk permintaan dari siapa pun di Internet."

Rob Kraus, Direktur Penelitian di Engineering Research Team (SERT) Solutionary, menunjukkan bahwa "mengetahui seperti apa arsitektur DNS Anda dari dalam maupun dari luar dapat membantu mengidentifikasi kesenjangan dalam penyebaran DNS organisasi Anda." Dia menyarankan untuk memastikan bahwa semua server DNS sepenuhnya ditambal dan diamankan ke spesifikasi. Untuk memastikan Anda telah melakukannya dengan benar, Kraus menyarankan "menggunakan latihan peretasan etis membantu mengungkap kesalahan konfigurasi."

Ya, ada cara lain untuk meluncurkan serangan DDoS, tetapi refleksi DNS sangat efektif karena efek amplifikasi, di mana sejumlah kecil lalu lintas dari penyerang menghasilkan sejumlah besar masuk ke korban. Mematikan jalan khusus ini setidaknya akan memaksa penjahat cyber untuk menciptakan jenis serangan baru. Itu semacam kemajuan.

Memahami serangan spamhaus ddos