Habr, dies ist eine Transkription der Leistung von CTO Qrator Labs Tyoma ximaera Gavrichenkova auf der RIPE77 in Amsterdam. Wir konnten seinen Namen nicht unter Beibehaltung der Bedeutung ins Russische ĂŒbersetzen und beschlossen daher, Habr beim Eintritt in den englischsprachigen Markt zu helfen, und lieĂen alles so, wie es ist
Dies ist ein Zitat von einer meiner Lieblingsbands. Dave Gahan von Depeche Mode ist ein lebender Beweis dafĂŒr, dass man in 5 Minuten 65 Mal das Wort âfalschâ sagen kann und trotzdem ein Rockstar bleibt. Mal sehen, ob es mir gelingt.
Wissen Sie, dass Menschen Geografie einfach lieben?
All dies, wissen Sie, trendige Karten und ArchitekturplÀne.
Vielleicht ist dies der Hauptgrund, warum ich beim Lesen des StackExchange-
Sicherheitsabschnitts stĂ€ndig auf denselben Ansatz zur Verhinderung von Cyberangriffen stoĂe.
Nehmen wir an, wir als Unternehmen erwarten nicht die spanische Inquisition,
pah , chinesische Benutzer. Warum beschrĂ€nken wir den Zugriff nicht einfach von ihren IP-Adressen? Wir sind am Ende nicht Facebook und unsere Dienste sind nur in einer begrenzten Anzahl von Regionen verfĂŒgbar. Und tatsĂ€chlich ist Facebook auch in China nicht verfĂŒgbar. Warum sollten wir uns Sorgen machen?
AuĂerhalb der Welt der Informationstechnologie wird eine Ă€hnliche Technik manchmal als
Redlining bezeichnet . Das Wesen dieses PhÀnomens ist wie folgt.
Angenommen, Sie sind Direktor einer Taxiflotte oder Pizzeria. Sie haben bestimmte Statistiken gesammelt, nach denen Ihr Kurier in einigen Stadtteilen möglicherweise ausgeraubt wird, oder es ist sehr wahrscheinlich, dass Ihr Auto zerkratzt wird. Nun, Sie sammeln alle Mitarbeiter, zeichnen eine dicke rote Linie auf den Stadtplan und geben bekannt, dass Sie auĂerhalb der roten Grenze keine weiteren Dienstleistungen mehr erbringen. (Aufgrund der strukturellen Merkmale der meisten amerikanischen StĂ€dte entspricht dies im Ăbrigen fast der Verweigerung von Dienstleistungen auf ethnischer Basis und wird als groĂes Problem angesehen.)
Wir können dasselbe mit IP-Adressen tun, oder? Jede IP-Adresse gehört zu einem beliebigen Land, daher gibt es eine offizielle Datenbank, die von der IETF und RIPE verwaltet wird und die die Zuweisung jeder IP-Adresse bestÀtigt.
Falsch!
Wenn wir uns nur auf technische Aspekte beschrĂ€nken, fĂ€llt uns vorerst zunĂ€chst ein, dass Geobasen kommerzielle Produkte von Handelsunternehmen sind, von denen jedes Daten auf seine eigene, oft nicht ganz klare Weise sammelt. Solche Produkte können fĂŒr statistische oder andere Studien verwendet werden. Die Bereitstellung eines breiten Publikums fĂŒr einen Produktionsdienst, der auf einem solchen Produkt basiert, ist jedoch aus unzĂ€hligen GrĂŒnden eine absolute Idiotie.
Das Konzept des "Besitzes" einer IP-Adresse existiert ĂŒberhaupt nicht. Eine IP-Adresse ist keine Telefonnummer, ein regionaler Registrar ĂŒbertrĂ€gt sie nicht an Eigentum, was ausdrĂŒcklich in seinen Richtlinien festgelegt ist. Wenn es eine EntitĂ€t auf der Welt gibt, zu der IP-Adressen gehören, dann ist es
IANA , kein Land oder Unternehmen.
Nebenbei bemerkt, der Prozess des Schutzes (Ihres) Urheberrechts ist manchmal nur kompliziert geworden.
NatĂŒrlich kann ein Teil davon (wenn auch keineswegs alles) mit dem Aufkommen von IPv6 besser werden. Jetzt sprechen wir jedoch ĂŒber DDoS-Angriffe. Die Ăra des echten IPv6-DDoS ist noch nicht angebrochen, und wenn wir Erfahrungen sammeln, können völlig andere Situationen auftreten. Im Allgemeinen ist es noch zu frĂŒh, um darĂŒber nachzudenken.
Aber zurĂŒck zu DDoS: Was ist, wenn wir sicher sind, dass die Gegenseite etwas eindeutig Bösartiges tut?
Unser Setup: 40G-Verkehr, höchstwahrscheinlich DNS-Verkehr, da er von Port 53 stammt.
Wie wir wissen, ist dieses Verhalten typisch fĂŒr DDoS-Angriffe mit DNS-VerstĂ€rkung. VerstĂ€rkungsangriffe verwenden einen anfĂ€lligen Server, um den Datenverkehr zu erhöhen, und die darin enthaltene Quell-IP-Adresse ist derselbe anfĂ€llige Server.
Was ist, wenn wir die Technologie verwenden, die
wir benötigen , um den Zugriff auf diese anfÀlligen Server einzuschrÀnken? Lassen Sie all diese DNS-Reflektoren endlich patchen, damit sie keine Bedrohung mehr darstellen, oder?
Nein, nicht so!
Das ist eine echte Geschichte.
Die beschriebenen Ereignisse ereigneten sich 1987 in Minnesota . Auf Wunsch der Ăberlebenden wurden alle Namen geĂ€ndert. Aus Respekt vor den Toten wurden die restlichen Ereignisse genau so angezeigt, wie sie sich ereigneten.
Das Unternehmen erhielt Face-by-Face-Gigabyte an DNS-Verkehr und entschied sich, diese mithilfe von IP-Adressen auf der schwarzen Liste zu verarbeiten.
Nach zwei Stunden bemerkten die Angreifer dies irgendwie und Ă€nderten sofort das Angriffsmuster. Ihre FĂ€higkeit, zuvor Amplifikationsangriffe durchzufĂŒhren, beruhte auf ihrer eigenen FĂ€higkeit, Pakete mit gefĂ€lschten Quell-IP-Adressen zu generieren. Daher machten sie dies weiterhin, jedoch auf etwas andere Weise.
Sie begannen, das Opfer direkt mit UDP-Verkehr mit Quellport 53 und gefĂ€lschten IP-Adressen aus dem gesamten IPv4-Adresspool zu ĂŒberfluten. Das vom Unternehmen verwendete NetFlow-Skript entschied, dass der Amplifikationsangriff andauerte, und begann, die Quellen zu verbieten.
Da Sie, wie Sie vielleicht vermutet haben, den gesamten IPv4-Adressraum in wenigen Stunden erraten können, dauerte es einige Zeit, bis die NetzwerkgerÀte keinen Speicher mehr hatten und vollstÀndig heruntergefahren wurden.
Um die Situation zu verschĂ€rfen, sortierten die Angreifer zunĂ€chst die EndbenutzerprĂ€fixe der beliebtesten und gröĂten Breitbandanbieter in diesem Land, sodass die Website fĂŒr Besucher lange vor dem vollstĂ€ndigen Denial-of-Service nicht zugĂ€nglich war.
Es folgt eine Lektion: Generieren Sie keine Blacklists automatisch, wenn Sie die IP-Adresse der Angriffsquelle nicht ĂŒberprĂŒft haben. Besonders bei Angriffen wie VerstĂ€rkung / Reflexion. Sie scheinen nicht das zu sein, was sie wirklich sind.
Danach bleibt die Frage.
Was ist, wenn wir zumindest bestÀtigen, dass sich ein böswilliger VerstÀrker tatsÀchlich auf der Remote-Ressource befindet? Lassen Sie uns das Internet scannen und die IP-Adressen mit allen potenziellen VerstÀrkern sammeln. Wenn wir dann einen von ihnen im Quellfeld des Pakets sehen, blockieren wir sie einfach - sie sind sowieso VerstÀrker, oder?
WeiĂt du was? Nicht so!
Es gibt eine Reihe von GrĂŒnden, von denen jeder argumentiert, dass dies niemals getan werden sollte. Ăberall im Internet gibt es Millionen potenzieller VerstĂ€rker, und Sie können sich leicht tĂ€uschen lassen, indem Sie erneut eine ĂŒbermĂ€Ăige Anzahl von IP-Adressen blockieren. IPv6-Internet ist im Allgemeinen nicht so einfach zu scannen.
Aber was hier wirklich lustig ist, ist, dass in einer solchen Situation das Potenzial nicht nur falsch positiver, sondern auch falsch negativer Antworten zunimmt. Dank was?
Redlining in anderen Netzwerken!
Die Leute hassen Netzwerkscanner. Sie blockieren sie, weil ihre glamouröse
IDS- AusrĂŒstung Scanner als direkte Bedrohung kennzeichnet. Sie blockieren Scanner auf millionenfache Weise, und ein Angreifer hat möglicherweise Zugriff auf VerstĂ€rker, mit denen Sie nichts tun können. Niemand wird im Voraus fragen, wie weich und flauschig Ihr Scanner ist. IDS hat kein Konzept wie einen âguten externen Scannerâ.
Hier sind die wichtigsten Ergebnisse:
- Versuchen Sie nicht, schwarze Listen zu verwenden, ohne sicherzugehen, dass die Remote-Seite nicht gefÀlscht ist.
- Verwenden Sie keine Blacklists, wenn dies nicht möglich ist oder wenn es eine bessere Lösung gibt.
- Hören Sie schlieĂlich auf, das Internet auf eine Weise zu brechen, fĂŒr die es nicht ausgelegt ist!
Und denken Sie daran: Eine komplexe Entscheidung ist normalerweise besser als eine einfache, da einfache Entscheidungen in der Regel komplexe Konsequenzen haben.