Мощность ботнетов увеличивается. Достаточно организованная и глобализированная бот-сеть уничтожит части Интернета, а не только отдельные сайты, такова сила, которой они обладают. Несмотря на их огромную мощь, самая большая атака DDoS не использовала традиционную структуру ботнета.
Давайте посмотрим, как расширяется мощь ботнета. ботнет и о том, как следующая огромная вы слышите о том, будет больше, чем в прошлом.
Как растут ботнеты?
В определении ботнета SearchSecurity говорится, что «ботнет — это набор подключенных к Интернету устройств, который может включать в себя ПК, серверы, мобильные устройства и интернет-устройства, которые заражены и контролируются распространенным типом вредоносных программ. Пользователи часто не знают, что ботнет заражает их систему ».
Ботнеты отличаются от других типов вредоносных программ тем, что это набор скоординированных зараженных компьютеров. Бот-сети используют вредоносное ПО для расширения сети на другие системы, преимущественно используя спам-сообщения с зараженным вложением. У них также есть несколько основных функций, таких как рассылка спама, сбор данных, мошенничество с кликами и DDoS-атаки.
Быстро расширяющаяся сила атаки ботнетов
До недавнего времени у ботнетов было несколько общих структур, знакомых исследователям безопасности. Но в конце 2016 года все изменилось. Серия огромных DDoS-атак заставили исследователей сесть и принять к сведению
- Сентябрь 2016 года . Недавно обнаруженный ботнет Mirai атакует веб-сайт журналиста по безопасности Брайана Кребса со скоростью 620 Гбит / с, серьезно нарушая работу его веб-сайта, но в конечном итоге приводя к сбою из-за защиты DDoS от Akamai.
- Сентябрь 2016 года . Ботнет Mirai атакует OVH французского веб-хостинга, увеличивая его примерно до 1 Тбит / с.
- Октябрь 2016 года . Огромная атака разрушила большинство интернет-сервисов на восточном побережье США. Атака была направлена на DNS-провайдера Dyn, трафик которого на услуги компании составлял примерно 1,2 Тбит / с, временно закрывая такие сайты, как Airbnb, Amazon, Fox News, GitHub, Netflix, PayPal, Twitter, Visa и Xbox Live.
- Ноябрь 2016 г. Mirai наносит удар по интернет-провайдерам и поставщикам мобильных услуг в Либерии, в результате чего большинство каналов связи по всей стране отключено.
- Март 2018 года. GitHub поражен крупнейшим зарегистрированным DDoS-сервером, регистрируя около 1,35 Тбит / с в устойчивом трафике.
- Март 2018. Компания сетевой безопасности Arbor Networks заявляет, что ее глобальный трафик ATLAS и система мониторинга DDoS регистрируют 1,7 Тбит / с.
Эти атаки усиливаются со временем. Но до этого самой большой DDoS-атакой была атака 500 Гбит / с на продемократические сайты во время акций протеста в Гонконге.
Одной из причин этого постоянного роста мощности является совершенно другой метод DDoS, который не требует сотен тысяч устройств, зараженных вредоносным ПО.
Memcached DDoS
Новая техника DDoS использует сервис memcached . Из этих шести атак GitHub и ATLAS используют memcached для увеличения сетевого трафика до новых высот. Что такое memcached, хотя?
Ну, memcached — это законный сервис, работающий на многих системах Linux. Он кэширует данные и уменьшает нагрузку на хранилище данных, например на диски и базы данных, сокращая количество раз, когда источник данных должен быть прочитан. Обычно он встречается в серверных средах, а не на рабочем столе Linux. Кроме того, в системах, работающих с memcached, не должно быть прямого подключения к Интернету (вы поймете, почему).
Memcached осуществляет связь с использованием протокола пользовательских данных (UDP), что позволяет осуществлять связь без аутентификации. В свою очередь, это означает, что любой, кто может получить доступ к компьютеру, подключенному к Интернету, с помощью службы memcached, может напрямую с ним общаться, а также запрашивать данные (поэтому он не должен подключаться к Интернету!).
Недостатком этой функции является то, что злоумышленник может подделать интернет-адрес компьютера, отправившего запрос. Таким образом, злоумышленник подменяет адрес сайта или службы для DDoS и отправляет запрос как можно большему количеству серверов memcached. Объединенный ответ серверов memcached становится DDoS и перегружает сайт.
Эта непреднамеренная функциональность сама по себе достаточно плоха. Но у memcached есть еще одна уникальная «способность». Memcached может значительно увеличить небольшой объем сетевого трафика до чего-то невероятно большого. Определенные команды для протокола UDP приводят к ответам, намного превышающим исходный запрос.
Результирующее усиление называется коэффициентом усиления полосы пропускания, а усиление атаки находится в диапазоне от 10000 до 52000 раз по сравнению с исходным запросом. ( Аками считают, что атаки memcached могут иметь коэффициент усиления более 500 000!)
Какая разница?
Таким образом, вы видите, что основное различие между обычным DDoS-ботнетом и DDoS-протоколом memcached заключается в их инфраструктуре. DDoS-атакам Memcached не требуется огромная сеть скомпрометированных систем, вместо этого они используют небезопасные системы Linux.
Цели высокой ценности
Теперь, когда потенциал чрезвычайно мощных DDoS-атак с использованием memcached находится в дикой природе, ожидайте увидеть еще больше атак такого рода. Но атаки memcached, которые уже имели место — не в том же масштабе, что и атака GitHub — привели к появлению чего-то отличного от нормы.
Охранная фирма Cybereason внимательно следит за развитием атак memcached. Во время анализа они обнаружили, что атака с использованием кэша памяти используется в качестве инструмента доставки выкупа. Злоумышленники вставляют крошечную записку с требованием выкупа с просьбой о выплате в Monero (криптовалюта), затем поместите этот файл на сервер memcached. Когда DDoS запускается, злоумышленник запрашивает файл с запиской о выкупе, заставляя цель снова и снова получать заметку.
Оставаться в безопасности?
На самом деле, вы ничего не можете сделать, чтобы остановить атаку memcached. На самом деле, вы не узнаете об этом, пока он не закончится. Или, по крайней мере, пока ваши любимые сервисы и сайты не будут доступны. Это если у вас нет доступа к системе Linux или базе данных, в которой работает memcached. Тогда вам действительно нужно пойти и проверить безопасность вашей сети.
Для постоянных пользователей основное внимание уделяется обычным ботнетам, распространяемым с помощью вредоносных программ. Это значит
- Обновите свою систему и сохраните ее таким образом
- Обновите свой антивирус
- Рассмотрим средство такое как Malwarebytes Premium (премиум-версия обеспечивает защиту в режиме реального времени)
- Включите спам-фильтр в своем почтовом клиенте ; включите его, чтобы поймать подавляющее большинство спама
- Не нажимайте на то, в чем вы не уверены; это удваивается для нежелательных писем с неизвестными ссылками
Быть в безопасности — это не рутина, просто требуется небольшая бдительность. обеспечат вашу
Кредит изображения: BeeBright / Depositphotos