Get best of the week

Jenis Penolakan Layanan: Bagaimana Kemajuan DDoS

DDoS tua yang baik ... Setiap tahun kami menganalisis bagaimana segmen kejahatan dunia maya ini berubah, dan menurut hasil dari masa lalu dan awal tahun ini, kami melihat bahwa jumlah serangan semacam itu telah meningkat lebih dari 1,5 kali. Selama waktu ini, penyerang secara signifikan meningkatkan kekuatan serangan dan mengubah taktik. Dan selain itu, DDoS telah menjadi lebih mudah diakses: menilai seberapa tajam jumlah serangan terhadap sumber daya pendidikan dan berbagai "buku harian elektronik" baru-baru ini meningkat, para peretas sekolah semakin menemukan dunia DDoS. Dalam posting ini, kita akan berbicara tentang serangan DDoS yang kami rekam pada 2019 dan pada awal 2020, dan bagaimana DDoS telah berubah belakangan ini.



Cepat dan kuat


Peretas mempercepat. Serangan berdaya rendah yang berlangsung beberapa hari sekarang tidak menarik bagi mereka. Misalnya, serangan terpanjang untuk periode pelaporan berlangsung sekitar sehari (setahun sebelumnya, para penyerang "menyiksa" server selama 11 hari dan 16 jam).

Tentu saja, para penyerang tidak melonggarkan cengkeraman mereka - berbeda dengan durasi, kekuatan serangan DDoS meningkat. Serangan paling kuat selama periode terakhir dilakukan dengan intensitas 405 Gbit / s. Ini, tentu saja, sedikit lebih rendah daripada rekor serangan model 2018 (450 Gbit / s) untuk jaringan Rostelecom, tetapi rata-rata, indikator daya DDoS masih meningkat. Perubahan taktik hacker dapat dijelaskan oleh fakta bahwa selama serangan, botnet, yang merupakan aset berharga, dapat diungkapkan oleh para pembela HAM. Setelah menetralkan serangan, data alamat botnet menjadi tersedia untuk operator lain sebagai bagian dari pertukaran informasi, dan botnet tidak lagi sesuai. Jika Anda dengan cepat menyerang korban dengan gelombang permintaan yang kuat, maka layanan anti-DDoS tidak punya waktu untuk mengisi daftar hitam.

DDoS Technologies - Arsenal Baru


Untuk melakukan sprint dengan ledakan lalu lintas palsu, Anda memerlukan basis teknis yang baik. Dan baru-baru ini, penyerang telah memompa dengan baik. Kami menarik perhatian pada munculnya amplifier baru yang kuat, yang mulai aktif digunakan dalam serangan DDoS.

Pertama, itu adalah protokol Remote Desktop Apple berbasis UDP (port UDP 3283), faktor amplifikasi yang 35,5: 1 (data Netscout). Apple Remote Desktop adalah aplikasi administrasi jarak jauh macOS workstation. ARMS (Layanan Manajemen Jarak Jauh Apple) mengakses port UDP yang selalu terbuka di workstation yang menjalankan macOS ketika mode Manajemen Jarak Jauh diaktifkan, bahkan jika itu bertentangan dengan pengaturan keamanan pada firewall. Saat ini, lebih dari 16 ribu komputer yang menjalankan macOS dengan port UDP terbuka terdaftar di jaringan global.

Juga, penjahat dunia maya secara aktif menggunakan protokol penemuan perangkat WS-Discovery (Web Services Dynamic Discovery) yang digunakan dalam solusi IoT. Faktor amplifikasi adalah 500: 1. Seperti Apple Remote Desktop, WS-Discovery mentransmisikan paket menggunakan protokol berbasis UDP, yang memungkinkan peretas untuk menggunakan paket spoofing (spoofing alamat IP). BinaryEdge menghitung sekitar 630 ribu perangkat dengan kerentanan ini di Internet (data untuk September 2019). Manfaatkan - Saya tidak mau!

Jangan lupa tentang salah satu alat utama untuk DDoS - botnet dari perangkat IoT. Serangan pintar paling kuat yang dicatat oleh kami adalah pada tahun 2019: 178 Mpps menabrak salah satu perusahaan taruhan. Penyerang menggunakan botnet 8 ribu perangkat nyata: router rumah, kamera dan IoT lainnya, serta ponsel. Saya tidak ingin scam atas tekanan, tetapi ada perasaan yang jelas bahwa 5G dan IPv6 akan membawa kita "catatan" baru.

Jenis serangan paling populer


Secara umum, metode serangan DDoS yang paling populer masih berupa banjir UDP - sekitar 32% dari total volume serangan. Di tempat kedua dan ketiga - banjir SYN (27,4%) dan serangan dengan paket terfragmentasi (14,2%). Tidak jauh dari para pemimpin adalah serangan amplifikasi DNS (13,2%).

Penyerang juga bereksperimen dengan protokol yang saat ini jarang digunakan - 16 (CHAOS) dan 111 (IPX over IP). Namun, serangan seperti itu kemungkinan besar merupakan pengecualian: protokol ini tidak digunakan oleh klien dalam kehidupan nyata dan dapat dengan mudah dideteksi dan dijatuhkan ketika serangan ditekan.

Di antara serangan yang tidak biasa tahun lalu, apa yang disebut "pemboman karpet" dapat dicatat. Mereka dicirikan oleh target yang membesar di ruang alamat korban dan mencari yang paling rentan dari mereka. Ini mempersulit pendeteksian dan serangan balik dari serangan semacam itu dalam model perlindungan IP per, ketika hanya alamat IP individu yang dilindungi, dan bukan seluruh infrastruktur Internet. "Pemboman karpet" yang paling masif yang dicatat oleh kami mencakup hampir 3 ribu target - setiap alamat dari semua jaringan satu klien diadili.

Baru-baru ini, penyerang mulai menggabungkan berbagai jenis serangan. Contoh koktail DDoS tersebut adalah refleksi SYN + ACK. Dalam jenis serangan ini, sumber daya publik pihak ketiga digunakan, ke mana paket SYN dikirim dengan alamat korban palsu sebagai sumber. Server pihak ketiga merespons dengan paket SYN + ACK kepada korban yang TCP stacknya mengalami pemrosesan paket yang tiba di luar sesi apa pun. Kami mengamati situasi di mana kedua pihak - korban dan sumber daya pihak ketiga yang digunakan untuk mencerminkan - adalah pelanggan kami. Untuk yang pertama, itu tampak seperti SYN + ACK refleksi, untuk yang terakhir sebagai SYN banjir.

Korban baru dan lama


Dua kata pertama tentang metodologi kami. Karena penelitian ini didasarkan pada data tentang serangan terhadap pelanggan layanan Rostelecom Anti-DDoS, ketika menentukan industri yang paling diserang, kami membentuk dua irisan analitis:

  1. distribusi sederhana dari jumlah total serangan yang dicatat oleh industri,
  2. peningkatan rata-rata dalam jumlah serangan per klien industri. Indikator ini menghilangkan kemungkinan kesalahan yang terkait dengan peningkatan jumlah pelanggan dari industri tertentu (dan, akibatnya, peningkatan jumlah serangan yang dicatat).

Jadi apa yang telah kita lihat.

Oleh industri


Seperti disebutkan di atas, jumlah serangan DDoS meningkat. Bahkan penutupan sejumlah pemicu stres yang signifikan, dan pada kenyataannya, layanan untuk mengatur DDoS (Quantum Stresser, ExoStress.in, QuezStresser.com, dll.), Tidak memengaruhi dinamika ini. DDoS masih murah dan cukup mudah. Puncak serangan terjadi pada Oktober 2019, ketika toko online sedang mempersiapkan Black Friday. DDoS pada waktu itu menjadi tradisi yang sama dengan "diskon hingga 90%". Pada saat yang sama, pelaku pasar besar diserang menggunakan serangan bertarget multi-vektor - pasti.

Industri game tetap menjadi pemimpin dalam DDoS: menyumbang 34% dari total serangan (terhadap 64% pada 2018). Ini tidak berarti bahwa peretas telah kehilangan minat dalam bermain game - jumlah serangan pada segmen tersebut tidak berkurang, tetapi karena kemunculan korban baru, pangsa industri ini telah β€œterkikis”.

Namun demikian, eSports secara keseluruhan tetap menjadi berita menarik. Protokol game menggunakan UDP sebagai transportasi. Ini memungkinkan tidak hanya untuk mengganti alamat pengirim, tetapi juga membuatnya sulit untuk melacak sesi. Selama periode pelaporan, kami mengamati dua jenis utama serangan DDoS tingkat aplikasi pada server game. Yang pertama mencapai tidak dapat diaksesnya mereka dengan mengirimkan sejumlah besar paket yang, untuk layanan perlindungan pihak ketiga, terlihat seperti yang sah. Perlindungan terhadap serangan tersebut didasarkan pada profil lalu lintas yang sah dan langkah-langkah seperti regexp dan respon-tantangan.

Tipe kedua dikaitkan dengan eksploitasi kerentanan yang teridentifikasi dalam protokol dan platform game. Dalam hal ini, perlindungan proaktif memerlukan kelas perangkat yang berbeda - firewall aplikasi Game. Perusahaan dan produsen hosting gim besar berusaha melindungi server dengan memasukkan berbagai cek dalam program klien mereka dan mengaitkannya dengan sistem perlindungan yang dikembangkan secara independen.

Perusahaan telekomunikasi menduduki peringkat kedua dalam popularitas, bagian mereka dalam total volume serangan tumbuh secara signifikan: dari 10% menjadi 31%. Sebagai aturan, ini adalah ISP regional kecil, berbagai hosting dan pusat data yang tidak memiliki sumber daya untuk mengusir serangan yang kuat, sehingga mereka menjadi korban mudah bagi peretas.

Selain telekomunikasi, penyerang menarik perhatian ke institusi pendidikan dan sektor publik. Sebelumnya, andil mereka dalam total volume serangan DDoS masing-masing adalah 1% dan 2%, tetapi dari tahun ke tahun meningkat menjadi 5% untuk masing-masing segmen. Kami mengaitkan ini dengan digitalisasi dan peluncuran sumber daya Internet kami sendiri, di mana aktivitas organisasi semacam itu semakin tergantung, terutama selama periode isolasi diri.

Di sektor lain tanpa perubahan signifikan:



Serangan per klien


Peningkatan rata-rata dalam jumlah serangan per klien telah meningkat secara signifikan. Jika pada 2018 itu adalah 21%, maka menurut hasil 2019 dan awal 2020, itu mencapai 58%. Peningkatan terbesar dalam jumlah serangan per klien ditunjukkan oleh institusi pendidikan - 153%. Ini adalah buku harian elektronik, situs dengan tugas dan kuis - semua yang mencegah siswa dari menikmati kehidupan. Ada kemungkinan bahwa para penggagas serangan semacam itu seringkali adalah para peretas ibu, para siswa itu sendiri, yang sekali lagi membuktikan kesederhanaan dalam mengatur DDoS pada sumber daya tidak aman seperti situs sekolah, misalnya.

Pertumbuhan serangan pada satu klien:


Apa yang harus dilakukan


Jumlah serangan DDoS akan bertambah, amplifier baru, tipe serangan dan target baru untuk penyerang akan muncul. Tapi, seperti hukum ketiga Newton katakan,
ada pertentangan terhadap setiap  tindakan.

Metode pencegahan DDoS diketahui - akan ada keinginan untuk akhirnya mengatasi masalah ini. Agar tidak menghasilkan bot IoT: tepat waktu menghilangkan kerentanan pada semua perangkat Anda, mengontrol port dan tidak menggunakan IPv6.

Untuk mengonfigurasi perlindungan dalam kondisi vektor serangan yang berubah dengan cepat: gunakan opsi yang disiapkan sebelumnya untuk menghadapi jenis serangan tertentu yang diketahui dan periksa infrastruktur Anda secara teratur.

Secara umum, dapat dilihat bahwa masalah saat ini di bidang DDoS entah bagaimana saling berhubungan. Oleh karena itu, perlu untuk melindungi aplikasi dan infrastruktur, terutama segmen kritis bisnis, secara komprehensif, pada berbagai tahap penyaringan.

More articles:


All Articles