Если вы считаете, будто в интернете все спокойно - вам сюда!, Для тех, кто не видит других проблем веба, кроме СХ |
Здравствуйте, гость ( Вход | Регистрация )
Если вы считаете, будто в интернете все спокойно - вам сюда!, Для тех, кто не видит других проблем веба, кроме СХ |
ALigned |
02.11.2012, 04:56
Сообщение
#1
|
Группа: Старые пользователи Сообщений: 114 Регистрация: 30.08.2012 Пользователь №: 23,101 Репутация: 171 |
Итак, тема для тех, кто не видит других проблем в интернете, кроме СХ, а если и видит, то считает их незначительными, не препятствующими, не стоящими и не несущими.
http://blog.cloudflare.com/65gbps-ddos-no-problem Сотрудник компании Cloudflare в своем блоге рассказал о том, что в последнее время были зафиксированы DDoS-атаки необычной силы: до 65 Гбит/с. Эксперты выяснили, что в данном случае использовался один из методов умножения запросов. Умножение осуществлялось за счёт отражения DNS-запросов (DNS reflection ) через DNS-резолверы, которые установлены у каждого провайдера. Обычно DNS-резолверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что резолверы принимают запросы от любого пользователя интернета. Здесь http://dns.measurement-factory.com/surveys...rts/latest.html список неправильно сконфигурированных резолверов, так называемых «открытых DNS-резолверов». Специалисты Cloudflare обнаружили в интернете 68459 открытых DNS-резолверов, в том числе 862 в России. Схематично метод выглядит так: DNS-запросы обычно идут по протоколу UDP, где можно легко подделать заголовок с обратным IP-адресом. Соответственно, ддосеры направляют к открытым DNS-резолверам поток DNS-запросов с IP-адресом атакуемого ресурса, а резолвер отвечает на указанный адрес. Чтобы максимально усилить трафик, составляются запросы, которые требуют максимально объёмного ответа: например, запрос списка всех DNS-записей в определённой зоне. В отчете приводится пример. Вы можете отправить такой запрос размером 64 байта на один из открытых DNS-резолверов. dig ANY isc.org x.x.x.x, где x.x.x.x — это IP-адрес резолвера. Ответ будет аж 3223 байта. Таким образом, DDoS-атаку можно усиливать в десятки раз, умножая трафик с помощью DNS-резолверов. В данном случае усиление составляет 3223/64≈50 раз. Любопытно, что в значительной мере усиление DDoS-атаки достигнуто благодаря большим ключам DNSSEC, которые включены в тело ответа, а ведь протокол DNSSEC внедрялся с целью повысить безопасность системы DNS. 17 сентября 2012 Кстати, один из коментаторов блога предлагает: "Perhaps the internet overlords should start cutting off DNS servers that behave badly." |
Текстовая версия | Сейчас: 13.06.2024, 08:58 |