Botnety používajú novú techniku zosilovania DDoS útokov

DSL.sk, 11.2.2009

Na používanie novej techniky zosilovania distribuovaných denial-of-service, DDoS, útokov upozornila aktuálne bezpečnostná spoločnosť SecureWorks.

Spoločnosť zistila, že botnety začali používať nový a jednoduchý spôsob zosilovania útokov pomocou DNS serverov.

Počítače z botnetu realizujúce útok nezasielajú pakety priamo na cieľ útoku, posielajú ale pomocou protokolu UDP sfalšovaný DNS dotaz na regulárny DNS server. Tento sfalšovaný dotaz má uvedenú ako adresu odosielateľa IP adresu skutočného cieľa útoku, DNS server tak svoju odpoveď zašle na skutočný cieľ útoku. Ak je odpoveď výrazne väčšia ako dotaz, jeden útočiaci počítač môže vygenerovať výrazne vyšší trafik útočiaci na cieľovú IP adresu.

Podobné techniky zosilovania pomocou DNS serverov boli používané aj v minulosti, vyžadovali ale špecifické DNS servery napríklad odpovedajúce komukoľvek na rekurzívne požiadavky a s dlhými TXT záznamami. Nový používaný útok posiela jednoduchý DNS dotaz typu NS pre root doménu ., teda zisťujúci adresu DNS root serverov.

Podľa SecureWorks na takýto dotaz odpovedajú takmer všetky DNS servery vrátane autoritatívnych DNS serverov pre domény a odpoveď obsahuje záznamy s IP adresou pre všetky root servery. Podľa nášho testu je odpovedajúci paket približne desaťkrát väčší ako paket s DNS dotazom, približne 450 bajtov voči 45 bajtom.

Infikované PC na pripojení s rýchlosťou uploadu 256 Kbps tak môže útočiť na cieľovú IP rýchlosťou až rýchlosťou na úrovni 2.5 Mbps a botnet môže uskutočňovať DDoS útok s 10-krát väčším bandwidthom ako bez použitia tohto zosilnenia.

Zosilnenie má samozrejme svoje limity, keď botnet musí útok viac synchronizovať a využívať čo najväčší počet DNS serverov aby neprišlo k preťaženiu využívaných DNS serverov respektíve zablokovaniu zosilnenia na DNS serveroch.


Najnovšie články:



Diskusia:

botnety su svinstvo Od: kontrolko | Pridané: 11.2.2009 14:03 Firmy by mali infikovanych userov okamzite upozornit pripadne odpojit. Nieje tazke zistit ktore pocitace generuju podozrivy trafic ako spam a ddos utoky a automaticky ich po upozorneni odpojit kym si pc nedaju dokopy. Odpovedať Známka: 5.6 Hodnotiť:

Re: botnety su svinstvo Od: fotograf | Pridané: 11.2.2009 14:08 ja by som vypol cely internet... :-)) Odpovedať Známka: 5.3 Hodnotiť:

Re: botnety su svinstvo Od: Věra Pohlova | Pridané: 11.2.2009 14:21 Tyhle aféry každého jenom otravují. Já bych všechny ty internety a počítače zakázala. Odpovedať Známka: -1.3 Hodnotiť:

Re: botnety su svinstvo Od: Věra Pohlova | Pridané: 11.2.2009 15:00 Tyhle aféry každého jenom otravují. Já bych všechny ty botnety zakázala. Odpovedať Známka: -2.4 Hodnotiť:

Re: botnety su svinstvo Od: ohlodok | Pridané: 11.2.2009 14:59 LoL ako moja mama ked blaci na brata: Neucis sa !!!! len za tym internetom sedis!!! vypnem ten internet a uvidis!!! :D Odpovedať Známka: 7.7 Hodnotiť:

Re: botnety su svinstvo Od: fotograf | Pridané: 12.2.2009 7:37 Tak, tak... :-D Odpovedať Známka: 10.0 Hodnotiť:

Re: botnety su svinstvo Od: fotograf | Pridané: 11.2.2009 14:08 sorry, len mam dobru naladu (z netu) :-D Odpovedať Známka: -4.5 Hodnotiť:

Re: botnety su svinstvo Od: ivan+ | Pridané: 11.2.2009 14:28 Botnety sú v prvom rade dobrý kšeft. Odpovedať Známka: 7.3 Hodnotiť:

Re: botnety su svinstvo Od: lobo | Pridané: 11.2.2009 14:32 "Firmy by mali infikovanych userov okamzite upozornit" skusil si sa zamysliet? Odpovedať Známka: 8.8 Hodnotiť:

Re: botnety su svinstvo Od: 35435 | Pridané: 11.2.2009 16:13 User je od slova usrat? Odpovedať Známka: 6.0 Hodnotiť:

Re: botnety su svinstvo Od: denverko | Pridané: 11.2.2009 16:50 ano v tvojom pripade Odpovedať Známka: -4.3 Hodnotiť:

Re: botnety su svinstvo Od: ---- | Pridané: 12.2.2009 15:38 "user" je od slova "pruser" Odpovedať Známka: 10.0 Hodnotiť:

Re: botnety su svinstvo Od: joe07 | Pridané: 11.2.2009 22:27 Dokonale si to zhrnul. Je dost freewareovych rieseni s ktorymi sa da zabezpecit. Tak sa nikto nemoze vyhovarat... Odpovedať Hodnotiť:

Re: botnety su svinstvo Od: Ja. | Pridané: 11.2.2009 22:48 Neviem, či zrovna freeware je tá správna voľba na zabezpečovanie. Nikdy nevieš, či v ňom nie je skrytý backdoor. Open Source by som na bezpečnosť skôr odporučil. Odpovedať Známka: 7.1 Hodnotiť:

Re: botnety su svinstvo Od: b2un0 | Pridané: 11.2.2009 23:18 OSC ponuka na zabezpečenie win je dosť biedna. Odpovedať Hodnotiť:

Re: botnety su svinstvo Od: Ja. | Pridané: 12.2.2009 8:39 Keď sa nenájde nič v opensource, tak už niečo komerčné a platené, ale freewaru sa veriť nedá Odpovedať Hodnotiť:

krasa utoku Od: hi5 | Pridané: 11.2.2009 14:31 v jednoduchosti je krasa, kedze to este nikoho nenapadlo, resp. nikto to realne nerealizoval, nikto neriesil ani potrebnu ochranu, v tom je slabost sucasnych protiopatreni. takze cakame ne AI v oblasti odhalovania utokonv,ne :P Odpovedať Hodnotiť:

Re: krasa utoku Od reg.: Marki555 | Pridané: 11.2.2009 15:16 No ale toto je jednoznacne problem ISP, kde bezia tieto zavirene windowsy. Ved predsa kazdy rozumny ISP ma vnutri siete filtraciu, aby neposielal von falsovane IP pakety. Ked na svojom routri uvidi prichadzat zo svojej siete paket so zdrojovou IP uplne haluznou, tak ho nema routovat do internetu ale zahodit! DNS server uz nema ako zistit ci bol dany paket falsovany alebo nie... Odpovedať Známka: 10.0 Hodnotiť:

Re: krasa utoku Od: hi5 | Pridané: 11.2.2009 15:33 sak hej, v tom je ta krasa. koho napadne filtrovat zdrojovu IP pri kazdej out komunikacii Odpovedať Hodnotiť:

Re: krasa utoku Od: asdfasdf2 | Pridané: 11.2.2009 15:35 Problem je v tom, ze to nie je cielom ISP... Cielom ISP je poskytovat Internet lamam a ziskavat za to prachy a neriesit nic viac, len kazdomesacne faktury a obcas nejaky ten servis. Nebolo by odveci, keby EK nakaze kazdemu ISP nejake tie zaklady, ako napriklad zaklady fw, ktory by kontroloval, co si spominal. Naozaj pakety, ktore su popisane v nejakom rfc, by mohli byt validovane. Je vsak otazna nakladnost tychto rieseni pre isp, kedze nik neimplementuje taketo filtrovaniia asi. Odpovedať Známka: 10.0 Hodnotiť:

Re: krasa utoku Od: Barracuda | Pridané: 11.2.2009 15:52 este v routri nebol windows a este v u T1 ISP. sa uvedom a potom nieco pis. IOS powa :) Odpovedať Známka: -10.0 Hodnotiť:

hm...... Od: shapira | Pridané: 11.2.2009 17:02 Nooo.. niektory ISP uz uvazuju... Staci mat doma namiesto routru alebo vo firme klasicky maly linuxovy serverik... staci 500MHz pentium a 2 sietovky.. dobre nakonfigurovane a dropovat neziadane pakety... a je po probleme.. len to by som asi vela chcela od firiem... no nie? Odpovedať Známka: 8.5 Hodnotiť:

Re: hm...... Od: Ja. | Pridané: 11.2.2009 17:19 Žiadaš naozaj veľa. Niektoré firmy nekúpia ani antivírus na počítače s windowsom, tak takéto opatrenia sú naozaj už veľa. Odpovedať Známka: 10.0 Hodnotiť:

hmm.. Od: nutrient | Pridané: 11.2.2009 20:22 vlady vydavaju zakony o odpajany ludi co nelegalne stahuju, ale takychto, ktory posobia realne omnoho vacsie skody nechavaju tak.... svet nema logiku :) Odpovedať Známka: 7.8 Hodnotiť:

Re: hmm.. Od reg.: 1000Sk | Pridané: 11.2.2009 21:13 Za to moze vlada SR, George Bush a Al Kakajda Odpovedať Známka: 0.0 Hodnotiť:

Re: hmm.. Od: Tupcek | Pridané: 11.2.2009 21:32 svet ma logiku, len je to neskutocny chaos, kolko faktorov sa spaja... Odpovedať Hodnotiť:

Re: hmm.. Od: PRIAMO Z PETRZALKYY | Pridané: 12.2.2009 18:05 OLŠOVÁ FAJČÍ KOCIANOVEJ KEKVET Odpovedať Hodnotiť:

Pridať komentár