(РУКОВОДСТВО) Веб-сайты по-прежнему уязвимы для DDoS-атак Dyn-Style

21 октября 2016 г. была проведена серия из трех разрушительных и широкомасштабных распределенных атак типа «отказ в обслуживании» (DDoS), нацеленных на поставщика системы доменных имен (DNS) по имени Dyn. В то время это была крупнейшая и наиболее значительная DDoS-атака, когда-либо проводившаяся. DDoS-атака Dyn с помощью ботнета затронули десятки миллионов IP-адресов и привели к временной недоступности или перебоям в работе основных веб-сайтов, включая (но не ограничиваясь ими) Amazon, Airbnb, BBC, CNN, Twitter, Wall Street Journal, Xbox Live и другие.

Кибератака была сочтена настолько серьезной, что Министерство внутренней безопасности США, как сообщается, начало расследование атак после их последствий.

Угроза DDoS-атаки

DDoS-атака работает путем бомбардировки целевых веб-сайтов или онлайн-сервисов огромным объемом мошеннического трафика, чтобы отключить их или сделать недоступными для законных пользователей. Что отличает атаку Dyn, так это то, что она нацелена не только на один веб-сайт, такой как Amazon или Airbnb, а на систему доменных имен.

DNS отвечает за соединение доменного имени в Интернете (веб-адрес, который будет введен пользователем, например, www.thisisadomainname.com) с соответствующим IP-адресом (серией чисел, разделенных десятичными точками). это немного похоже на старомодную телефонную книгу, в которой есть как имена, так и номера телефонов.

Когда DNS подвергается атаке, как в случае с DDoS-атакой Dyn, он не может работать правильно. Атака на Dyn использовала вредоносное ПО под названием Mirai для создания ботнета, состоящего из тысяч устройств, подключенных к Интернету. Затем они использовались для запуска атаки, которая на пике своего развития отправляла огромные 1,2 терабайта трафика в секунду на Dyn.

Проблема, которую еще предстоит решить

После любой крупной атаки пострадавшие игроки пытаются выяснить, что произошло, и убедиться, что это больше не повторится. Однако, хотя уроки DDoS-атаки Dyn/Mirai в 2016 году почти наверняка были извлечены, многие из тех же уязвимостей продолжают существовать.

Для начинающих, исследователи из Университета Карнеги-Меллона обнаружили, что подавляющее большинство ведущих веб-сайтов (более 80%) по-прежнему не управляют собственной службой DNS, а полагаются на стороннего провайдера DNS. У них также нет подготовленной резервной копии для их DNS-сервера, которую можно использовать в случае, если их DNS-провайдер временно выйдет из строя.

Они также обнаружили, что в экосистеме DNS существует высокая концентрация всего нескольких провайдеров, которые обслуживают большое количество популярных веб-сайтов. Это означает, что такие провайдеры, как CloudFlare, AWS (Amazon Web Services) и GoDaddy, отвечают за бесперебойную работу большей части Интернета. Исследователи пришли к выводу, что атака, аналогичная той, которая произошла в 2016 году, приведет к аналогичным результатам в наши дни.

Атаки на основе вредоносных программ, такие как Mirai, также все еще в высшей степени возможны. Ботнеты становятся все более опасными в мире онлайн-кибератак. В случае с Mirai он работал, используя вредоносное ПО для заражения подключенных к Интернету устройств, таких как видеорегистраторы, домашние маршрутизаторы, камеры видеонаблюдения и т. п., а затем используя их как дистанционное оружие маньчжурского кандидата, с помощью которого можно бомбардировать цели фальшивым трафиком. .

Даже спустя полвека плохие методы обеспечения безопасности с использованием устройств Интернета вещей (IoT) означают, что аналогичный подход можно использовать для создания ботнета для DDoS-атаки аналогичного (или даже более крупного) масштаба. Растущее количество подключенных устройств со временем только усугубит эту проблему.

Как защититься от подобных атак

Защита от DDoS-атак, нацеленных на DNS, является обязательной для любой компании. Атака Dyn показала, что односторонние предприятия уязвимы, даже если они сами не являются непосредственной целью рассматриваемой DDoS-атаки.

Один разумный шаг, который компании или организации могут сделать, чтобы лучше защитить себя, — это использовать резервного провайдера DNS. Резервный, вторичный или альтернативный DNS содержит копию данных зоны (записи DNS) основного DNS-сервера. В случае сбоя, такого как атака Dyn, он может смягчить последствия сбоев, отвечая на запросы даже в том случае, если основной DNS-сервер работает неправильно.

Это также блестящий ход — использовать средства защиты от DDoS-атак на внутреннем DNS-сервере. Такие защитные меры защищают ваш DNS-сервер, выступая в качестве первого пункта назначения для всех входящих DNS-запросов. Затем он предотвратит попадание незаконных DNS-запросов на ваш сервер, а также замаскирует его для защиты от атак на сетевом уровне напрямую на IP.

DDoS-атаки опасны, независимо от того, какую форму они принимают. Время в автономном режиме может быть разрушительным для компаний, что приводит к значительному ущербу и потере доходов. Несмотря на то, что такие атаки успешно уничтожили некоторые гигантские веб-сайты, это не станет большим утешением для бизнеса, который в настоящее время страдает от такой атаки.

К счастью, есть инструменты, которые помогут защитить вас. Очень желательно, чтобы вы максимально использовали их. В конце концов, тот факт, что большинство веб-сайтов по-прежнему уязвимы для DDoS-атаки в стиле Dyn, не означает, что вы должны быть среди них.