Akamai udtaler sig om stigning i DDoS -angreb
Kredit:CC0 Public Domain
Internetsikkerhedens store mobbe:Distributed Denial of Service (DDoS), der ødelægger normal trafik på en målrettet server eller et netværk med en flod af HTTP -anmodninger, misdannede pakker. Krak, bam boom. Missioner udført. Brugere kan ikke komme tilbage.
Akamai's Jonathan Respeto blogger nogle grimme fund onsdag. Et team på Akamai havde tjekket en ny DDoS-vektor, der udnytter en UDP-forstærkningsteknik kendt som WS-Discovery (WSD). Situationen nu er sådan, at "flere trusselsaktører" udnytter denne DDoS -metode til at øge angreb.
For dem, der er mindre bekendt med discovery lingo, UDP står for User Datagram Protocol. TechTarget fortæller læserne, at det er en alternativ kommunikationsprotokol til Transmission Control Protocol, der bruges til at etablere forbindelser med lav latenstid og tabstolerante applikationer på internettet.
På onsdag, Respeto blogger, at "Da UDP er en statsløs protokol, anmodninger til WSD -tjenesten kan forfalskes. "
WSD står for Web Services Dynamic Discovery. Catalin Cimpanu i ZDNet beskrev WSD som "en multicast -protokol, der kan bruges på lokale netværk til at 'opdage' andre enheder i nærheden, der kommunikerer via en bestemt protokol eller grænseflade."
OKAY, så her er den grimme rolle, WSD spiller i dette tilfælde, som Akamai's Respeto opdagede.
Han gav en historie om, hvordan det skete, og problemerne nu:
WSD blev sendt som et standardfunktionssæt og service, der startede med Windows Vista. Det har været inkluderet i HP -printere siden 2008. Hvad angår enheder, som Acamai -teamet opdagede på Internettet, at de forkert udsatte og reagerede på WSD, "De fleste består af CCTV kameraer og DVR [digital video recorder] systemer, en trend, der ikke er overraskende på nuværende tidspunkt. "
Anthony Spadafora i TechRadar sagde, at angribernes teknik til at misbruge WSD -protokollen blev "brugt af en lang række netværksenheder til automatisk at oprette forbindelse til hinanden. WSD -protokollen gør det muligt for enheder at sende brugerdatagramprotokol (UDP) -pakker over port 3702 for at beskrive mulighederne og krav til en enhed. "
Hvad satte Akamai først på ødelæggelsessporet? Respeto sagde, at "en af vores kunder blev beskyttet. Angrebet, som målrettede spilindustrien, vejede ind på 35/Gbps ved maksimal båndbredde. "Mere forskning af teamet blev foretaget om implementeringer af WSD -protokoller:
Respeto sagde "SIRT var i stand til at opnå forstærkningshastigheder på op til 15, 300% af den originale byte -størrelse. Dette placerer WSD på 4. pladsen på DDoS -angrebene på leaderboardet for den højeste reflekterede forstærkningsfaktor. "
Fra tjenesteudbyderfirmaet DDoS-GUARD:
"Visse kommandoer til UDP -protokoller fremkalder svar, der er meget større end den oprindelige anmodning. Tidligere har angribere blev begrænset af det lineære antal pakker, der direkte blev sendt til målet for at udføre et DoS -angreb; nu kan en enkelt pakke generere mellem 10 og 100 gange den originale båndbredde. Dette kaldes en forstærkning af angrebet. "
Noget kaldet båndbreddeforstærkningsfaktoren kan måle den potentielle effekt af et forstærkningsangreb, og er "beregnet som antallet af UDP -nyttelastbytes, som en forstærker sender for at besvare en forespørgsel, sammenlignet med antallet af UDP -nyttelastbytes for forespørgslen. "
Der er en ringe undskyldning for at sige 'så hvad' her. Spadafora sagde, at forstærkningen "gør WSD til en af de mest kraftfulde teknikker i en hackers arsenal til forstærkning af DDoS -angreb, som kan være lammende for virksomheder og forbrugere."
En årsag til bekymring denne gang var afhængig af selve puljen af tilgængelige enheder.
Spadafora:"... den nye teknik, der bruges af hackere, er stadig grund til bekymring på grund af den pulje af tilgængelige enheder, som Akamai vurderer er over 802k." Lily Hay Newman i Kablet :"Akamai anslår, at hele 800, 000 enheder udsat for internettet kan modtage WS-Discovery-kommandoer. Hvilket betyder, at ved at sende 'sonder' en slags opkaldsanmodning, du kan generere og rette en ildslange med data mod mål. "
Hvad er der i hackerne? Hvad får de ud af det her? Robert Hackett torsdag i Formue tog et hug på svarene. Han sagde, at banke mål offline i "distribueret denial of service" -angreb var "nogle gange bare for spark og fnis, andre gange, indtil et offer betaler løsesum. "
Afbødning?
Respeto sagde, at "Bare at placere blokke på UDP -kildeporten 3702 forhindrer trafikken i at ramme dine servere. Men det er kun halvdelen af problemet, da trafikken stadig overbelaster båndbredde på din router. Det er her, din DDoS -afhjælpningsudbyder ville komme ind og tilføje den nødvendige ACL til at blokere angrebstrafikken. "
ACL står for Access Control Lists. ACL'er er pakkefiltre i et netværk, sagde iTT -systemer . "De kan begrænse, tilladelse, eller nægte trafik, som er afgørende for sikkerheden. En ACL giver dig mulighed for at styre pakkestrømmen for en enkelt eller gruppe af IP -adresser eller forskellige for protokoller, såsom TCP, UDP, ICMP, etc."
Nogle af Respetos konklusioner:
(1) "WSD er en stor risiko på Internettet, der kan skubbe en alvorlig båndbredde ved hjælp af CCTV og DVR'er.". Producenter kan begrænse omfanget af UDP -protokollen på port 3702 til multicast -IP -rummet.
(2) "Organisationer bør være klar til at dirigere trafik til deres DDoS -afhjælpningsudbyder, hvis de bliver ramt af dette store angreb. På grund af dets store forstærkningsfaktorer, vi forventer, at angribere vil spilde lidt tid på at udnytte WSD til brug som refleksionsvektor. "
Hvad er det næste?
Hackett så, at "sikkerhedsbevidste grupper" sandsynligvis ville forsøge at overtale dem, der var i besiddelse af sårbare enheder-hvad enten det er virksomheder eller forbrugere-til at opdatere dem. For de teknisk sindede, han tilføjede, "det betyder blokering af kommunikation til port 3702." De kan også anbefale at anvende firewalls eller fjerne enheder fra det offentlige internet. "Ultimativt, hvis problemet kommer ud af hånden, Internetudbydere kunne trækkes ind, blokerer mistænkelig trafik. "
© 2019 Science X Network
Varme artikler
-
Cybersikkerhedsregler for lufttransport kan vise sig at være ineffektiveKredit:CC0 Public Domain En ny undersøgelse ledet af akademikere fra Cloud Legal Project ved Queen Mary University of London har fundet ud af, at de nuværende cybersikkerhedsstandarder fastsat af -
Teslas næste store ting:Kan det være med Apple?Hvis Tesla-administrerende direktør Elon Musk troede, at en stopper for hans plan om at tage elbilproducenten privat ville berolige al den opmærksomhed, Tesla havde fået om sin fremtid, han burde tænk -
Brændende vækst for vedvarende energi takket være solenergi:IEAPrisen på elektricitet produceret af solpaneler er faldet med mere end 80 procent siden 2010 Væksten i sektoren for vedvarende elproduktion er vendt tilbage til et tocifret tempo takket være en st -
NREL beskriver et stort potentiale for flydende solcelleanlægFlydende solcelleanlæg installeres i Walden, Colorado. Kredit:Dennnis Schroeder/NREL Forskere fra National Renewable Energy Laboratory (NREL) vurderer, at installation af flydende solceller på mer
- Mimetisk Mars-vand er under pres
- Amazon har begrænsninger, så Alexa ikke bliver til aflytning
- Populær teori om indiansk oprindelse afkræftet af genetik og skeletbiologi
- Inspirerende opdagelse af nye lægemidler med pseudo-naturprodukter
- Mørket for enden af tunnelen
- Ny risikotriage-platform identificerer sammensatte trusler mod amerikansk infrastruktur