攻击者启动使用DNSSEC放大的多向量DDOS攻击
DDOS攻击正越来越复杂,结合了需要不同缓解策略的多种攻击技术以及滥用新协议。
来自Akamai的事件响应者最近帮助减轻了对未命名的欧洲媒体组织的DDOS攻击,该组织在363G BPS(每秒比特)和每秒5700万个包中达到顶峰。
虽然大小本身令人印象深刻,但在一个组织可以自己争斗的情况下,攻击也会出现,因为它组合了六种不同的技术,或者矢量:DNS反射,SYN洪水,UDP片段,推洪,TCP洪水和UDP洪水。
Akamai在上个月发布的报告中表示,今年第一季度观察到的所有DDOS攻击的近60%的DDOS袭击的攻击都是多矢量攻击。其中大部分使用了两种载体,只有2%的使用五种或更多种技术。
这种大攻击中使用的DNS(域名系统)反射技术也很有趣,因为攻击者滥用了启用了DNSSEC的域以生成更大的响应。
DNS反射涉及滥用误解欺骗请求的DNS解析器。攻击者可以通过指定目标的Internet协议(IP)地址作为请求的源地址,将DNS查询发送到Internet上的这些服务器。这使得服务器将其对受害者的响应引导而不是DNS查询的真实来源。
这种反射对于攻击者来说是有价值的,因为它隐藏了恶意流量的真实来源,因为它可以具有放大效果:DNS服务器发送给受害者的响应大小比触发它们的查询更大,允许攻击者生成更多交通比他们否则。
对于域名系统安全扩展名(DNSSEC)的域名CONPD查询仅增加放大因子,因为DNSSEC响应甚至比常规更大。这是因为它们具有用于加密验证的额外数据。
DNSSEC允许客户端验证DNS数据的源以及数据的完整性,确保DNS响应HAVEN ended and in with route,并且由查询域名的权威服务器提供。
“在过去的几个季度,Akamai已经观察并减轻了许多DNS的反射和放大DDOS攻击,即滥用DNSSEC-CONPD领域,”Akamai研究人员在周二发布的咨询中表示。
该公司已观察到与不同行业的目标的DDOS扩增攻击中相同的DNSSEC-CONPD域名。
星期二发布的一个单独的Akamai咨询描述了今年违反Massachusetts技术研究所的网络的几个DDOS活动。其中一个攻击发生在4月份,并通过触发CPSC.Gov和ISC.ORG的响应,使用DNS反射,启用了两个DNSSEC的域名。
“域名所有者本身并不是错,唐”T感受到这些袭击的影响,“Akamai研究人员说。“攻击者通过发送IP源被设置为MIT目标IP的欺骗DNS查询,滥用滥用拆分者。大多数这些服务器都将缓存初始响应,因此不会向权威名称服务器进行多个查询。“
不幸的是,DNS不是唯一可用于DDOS放大的协议。NTP,Chargen和SSDP协议也常用于这种攻击,并且不幸的是,只要互联网上的MISCONPD服务器和设备即可,这种技术将继续受到攻击者的青睐。