我叫Matthew Prince,我是CloudFlare的联合创始人之一兼首席执行官。 不要以为我会像美国国家安全局局长一样有趣,但至少我会尽量减少争议。 实际上,我是法学的私人教授,因此我阅读了《宪法》,可以就该主题展开长时间的讨论。 有一天,我们将对此进行详细讨论,我希望我能告诉大家我们目前正在针对美国政府提起诉讼的故事,以挑战发生的某些事情,因为这完全是胡说八道。
我会告诉您一个不太有趣但生动的故事,发生于3月18日至25日,当时我们的一位客户遭受了严重的DDoS攻击。 我不会谈论CloudFlare,如果您想了解我们的服务,只需访问该站点。 但是,当我们的客户遭到攻击时,这是记者喜欢写的那种事件,《纽约时报》连续四天报道了这种攻击。 这是一次非常强大的攻击,因此我想谈一谈。
因此,有一个名为Spamhaus的非营利组织,该组织跟踪垃圾邮件发送者及其活动。 我认识这些人是很久以前的事情了,从2006年至2007年,当时据称的伊利诺伊州垃圾邮件发件人起诉了他们。 然后,这个组织的创始人史蒂夫·林福德给我打电话,问我是否可以担任他们的自由律师。 我回答说我曾经是一名私人律师,这意味着我在教室里教学生,但我从未在法庭上讲话。 我很快为他们找到了一位真正的律师,他们很快帮助他们“解决”了这一情况,所以我知道Spamhaus是一个非常体面的组织,他们公开经营。
许多组织是我们的客户,但是他们不愿意公开谈论他们的问题,但是Spamhaus的家伙并没有那么封闭,当他们遭到攻击时,他们打电话给我们,说:“嘿,我们可以告诉您我们的故事!” 因此,这是一个关于Spamhaus受到攻击的故事,以及它们被拆除时幕后发生的事情。
我把这个故事分为三个部分。 首先是攻击的性质,它是什么以及背后的人。 如果您想了解更多信息,请访问DefCon,下周我将在这里发言。
第二部分是阻止攻击需要做的事情,如何创建真正具有攻击能力的网络。 这不是关于强大智能或令人难以置信的软件的故事,而是关于构建智能网络的故事。
最后一部分是您可以在自己的网络上采取哪些措施来阻止这种类型的攻击。 我保证演讲的结果不会促使人们使用CloudFlare服务作为最安全的方法;相反,我将告诉您有关高级事项的信息,如果这样做,它们将使您不太容易受到此类DDoS攻击。
因此,在3月18日,星期一,我们收到了一名Spamhaus志愿者的电话,他们将这次袭击告知了我们。 这就是当时他们的网站的样子-攻击者将其置于“离线”状态,有效地将其与Internet断开了连接。
媒体后来写道,袭击是由住在荷兰某地掩体中的某人Fenn发起的。 这个家伙不是这个行动的真正发起者,可能他只是准备接受《纽约时报》采访的那个人。 相反,这次袭击的真正策划者是来自伦敦的15岁少年,他目前已被捕,但新闻界对此并未大惊小怪。
《纽约时报》在2013年3月23日的一篇文章中写道,该攻击是由丹麦公司Cyberbunker进行的,以应对Spamhaus组织将其列入垃圾邮件黑名单。 赛博邦克的总部确实位于一个废弃的北约掩体中(笔记翻译)。
采取此行动的原因很可能是Spamhaus宣布某人为垃圾邮件发送者。 这个组织做很多事,但碰巧他们捏了别人的尾巴,在这种情况下,得罪的一方采取了报复措施,在这种情况下,它组织了一次袭击。 Spamhaus在技术上足以抵制许多不同类型的攻击,但是在这种情况下,他们的DNS基础架构遭受了巨大的打击,只是将该站点从网络中删除了。 任何组织都可能发生这种情况,他们想制止这种情况。 他们知道我们正在帮助防止此类攻击,所以他们求助于我们。
因此,从3月18日到3月21日,我们称之为“诱人的攻击”。 这样的攻击就像我们的面包,每周我们也会发生几次类似的攻击。 为了让您了解他们的规模,我要说的是,上周我们记录了162起针对客户的攻击,我们非常成功地阻止了他们。 这些DoS攻击的发生速率为每秒10到80吉比特。 对于某些组织(例如财务组织)而言,如此密集的攻击可能很危险。 因此,去年,一些金融机构遭受了60-80 Gb / s的DoS攻击,但是,我重复一遍-这些是我们熟悉的非常常见的攻击,在BlackHat会议上没有什么值得一提的。
应该注意的另一件事是,DoS攻击并非完全相同,攻击的数量(即,该站点被攻击的数据包的数量)非常重要。 我们今天要谈论的是3级攻击,即对OSI模型网络层的攻击。 这纯粹是卷攻击。 但这并不是第七级应用程序级别的最坏,更糟糕的攻击,虽然攻击程度不那么大,但是对于特定的应用程序会产生更多的问题。 但是今天,我将不讨论需要特殊软件的攻击。
当攻击者使用小容量的Syn数据包时,这也适用于4级DoS攻击,这会对受害者造成可观的损害,因为他的操作系统无法应对这些请求。
在我们的案例中,攻击仅基于较大的攻击量,它试图将您破坏到第3级,将您从网络中淘汰出来,并使端口的流量过饱和。 3月20日(星期三),我们网络的一个端口遭到攻击,或者更确切地说,一组端口遭到了攻击,其中一个Spamhaus网站位于“ sat”位置。
此幻灯片显示了代理缓存,蓝线是来自我们网络的流量,绿线是传入流量。 计划末尾的最高峰是完全落在Spamhaus上并使网络瘫痪的攻击。 我们的网络可以“消化”如此大的流量,因此可以轻松承受75 Gb / s的攻击。
但是,在3月20日的攻击期间,DoS强度上限达到了100 Gbit / s。 这看起来是个特例,因为如果您购买或创建基本路由器,则需要与Cisco或Juniper之类的人进行通信,并且可以从它们那里购买的最酷,最大的“盒子”具有容量为100 GB的端口。 从理论上讲,您可以使用多个100 Gb端口,并将它们通过单个接口传递,但是DoS攻击的上限通常不会超过指定的数量。
此后不久,我们的网络工程师之一汤姆打电话给我,说攻击的强度增加了。 她可以越界,所以我问她长了多少,以为我们说的是稍微过剩。 下一张幻灯片显示了3月24日至25日发生的新攻击的强度。
该图显示了我住在旧金山的世界标准时间UTC,那时我们还有另一个23号,因此您可以想象3月23日我的晚餐是什么样的。 他们打电话给我,说这次攻击超过了100 Gigabit的上限,但是我们认为很快就不会看到类似的东西! 突然,我们传入网络之一的提供商和网络工程师打了4个电话,我们现在的流量强度超过300 Gb / s,已达到我们网络能力的极限。
该图显示,在3月24日至25日期间,攻击率下降到90 Gb / s,并增加到300 Gb / s,从而导致拒绝为我们其中一个网络带宽已完全耗尽的提供商的传入流量提供服务。
问题是如何? 如果已知设备上限为100吉比特,那么黑客如何做到这一点? 这个来自伦敦的男孩,这个15岁的少年,如何组织这种前所未有的激烈袭击?
许多人(包括媒体)表达了错误的观点,认为这种攻击需要僵尸网络。 但是在这种情况下,僵尸网络没有真正的流量。 其他人则说Anonymous这样做是因为该社区中有很多人经过协调,可以共同实施某种攻击。 不,不是。 攻击是由3个人(可能是4个人)进行的,其中一个是真正的技术策划者,但在资源和表演者方面非常有限。
许多人认为这种攻击需要出色的技术技能。 我要说的是,我看到了引发这种攻击的代码,它在C语言中大约有50行,不包括此类漏洞利用程序通常包含的标头,因此该信息很少。
稍后,我将向您展示如何发起这种攻击。 真正需要的是打开的DNS客户端或DNS解析器的列表,稍后我将告诉您它是什么。 您需要的第二件事是在允许替换源IP的网络中工作的一些服务器,或者只是低功耗的计算机。
这些是进行攻击的主要组成部分,事实证明,如果您有这两件事,即使数量很小,也可以发起非常非常大的攻击。 到目前为止,没有任何削弱这种攻击的方法发生改变,这有点令人毛骨悚然。
让我们谈谈开放的DNS解析器。 DNS只是Internet上的一小段空白页,它是一种缓存系统,可以响应发送到服务器的请求。
配置不当的DNS解析器(也称为开放DNS解析器)会回答问题,无论是谁问它。 这个“独立的” DNS解析器会回答任何要求它的人。 它不受任何限制。 它对请求的数量没有限制,也没有限制谁接收请求。
您可能会问:“ Google呢? 毕竟,他使用了开放的DNS解析器!” 但是,诸如Google之类的组织做了很多工作来限制发给解析器的请求数量,以使其更难发动攻击;它们限制了根据请求提供的响应的大小。 就在上周,Bind的家伙宣布了一项新扩展,该扩展使我们可以为请求设置速度限制,这正是我们长期以来所缺少的。 由于最令人恐惧的是攻击,因此越来越多地使用权威的开放DNS服务器。
在任何攻击期间,黑客都试图以任何可能的方式来增强它,例如使用僵尸网络。 如果我自己的资源很少,那么我将努力使用它们来创建其他资源。 在BlackHat会议上,有人说DDoS是一种完全不对称的攻击,因为一个小矮人会造成巨大的问题,而开放的DNS解析器清楚地证明了这一点。
此幻灯片显示了通过Windows终端或控制台发起攻击的关键命令。
该命令于凌晨2点从PCCW网络上运行的公共DNS解析器63.217.84.76启动。 如果您发送此请求,服务器将响应您。
digANY只是一个DNS查询,可启动对任何NS,ISC域名的搜索。 org意味着他们想向您显示所有可能的DNS记录类型,因此他们的DNS文件非常大,然后是解析器IP地址和edns = 0标志,它表示:“请给我一切,包括dns.sec等。标志类型,默认情况下您可能不会收到。 notcp标志是一个重要的元素,因为它告诉解析器不要使用TCP交换数据,而是通过UDP转发所有数据,并且bufsize将缓冲区大小设置为4096,即,努力使缓冲区尽可能大以发送非常“粗体”的数据包。
因此,您运行了这个大小为64字节的可爱请求,并获得了屏幕上正在运行的内容作为响应。 也就是说,在64字节的请求上,您将收到3363字节的响应。
因此,如果设法找到一个开放的DNS解析器,则将其发送64字节,并获得大于3300字节的响应。 这就是我说您可以使用很少的资源来制造大问题时的意思。 在这种情况下,我们获得的攻击收益约为x50。
但是,默认情况下,放大功能不起作用,如果我发送一个小的请求来获得较大的响应,那么我只会向自己发送DDoS攻击。 因此,此类攻击的第二个必需组件是允许欺骗源IP地址的网络。
也就是说,我试图假装DNS查询是从一个未发送的IP地址发送的。 我向DNS解析器发送了一条消息,由于UDP是一种“握手而忘了”的协议,因此在收到请求后,它仅向认为该发送者的响应发送响应。
组织良好的网络不允许这样做,它们不允许数据包来自不属于该网络的IP地址-这些是BCP38的建议。 创建网络时,大多数Internet提供商应遵循这些建议,但是有些网络会忽略此规则。
因此,如果我们有两个必要的成分,那么由于UDP不使用握手,因此您可以轻松地替换请求源的IP地址。 为了攻击Spamhaus,使用了幻灯片上显示的特定DNS,并确保通过UDP进行连接,而无需任何握手。 然后,位于世界各地的所有这些开放DNS解析器的响应都将发送回您或任何其他目标网络。
这些DDoS攻击的次要影响反映在客户支持中,因为此攻击涉及数十万个开放的DNS服务器。 他们的用户跟踪到攻击地址190.93.243.93的路径,从该地址发出大量数据包,对其基础设施造成打击,并开始用愤怒的电话轰炸您,例如“您不知道自己在做什么,您不知道如何启动普通网络,您的计算机砍死了,你怎么敢攻击我!” 等等。 并且您必须非常有礼貌地向他们解释,正是他们在实际攻击您,他们自己遭受了痛苦,因为他们没有正确配置DNS解析器,查询的答案又回来了,所有这些最终都会影响您自己。
实际上,这是一个向人们传授如何“清理”其网络的机会,这是此类攻击的积极方面,因为人们没有意识到由于开放DNS服务器的错误设置,这种情况只会在小范围内持续发生。 而且只有当攻击的强度大大增加时,他们才开始注意它。
我认为你们所有人都熟悉像Smurf这样的旧式攻击,在这种攻击中,您使用ICMP通过路由器向路由器发送广播请求并使用源欺骗,从而使计算机对欺骗的受害者做出反应,从而阻塞了通信通道。
好消息是,路由行业已学会非常有效地应对这种攻击。 他们仍然被发现,但是发动蓝精灵攻击是非常困难的。 但是,通常,DNS反射响应攻击非常容易组织。
这些攻击有多普遍? 下一张幻灯片描述了Open Resolver Project,这是一个相当革命性的产品。 此处存在的许多人争论了很长时间,是否值得发布网络上运行在Internet上的所有开放DNS解析器的列表。 事实是,“好人”可以使用此列表,以便他们可以将客户端指向错误配置的网络,也可以由“坏人”使用此列表来组织DoS攻击。
这个项目是在周末之后的星期一启动的,这并非巧合,在此期间我们忍受了所有的苦难。 因此,最大的一级Internet提供商能够确保“坏人”拥有此列表很长一段时间,因此您需要通过摆脱开放服务器来清理它。 IP- , DNS-. , PCCW , , . , , DNS-, , 28 . , 30, 40 50 , , , 21 , .
, – , . MIT, . , , 25% .
2013 , BCP 38 . , , IP-, . , 2002 , , – !
, - . , , , , China Telecom. DNS- . , , . , .
, Spamhaus. 24 309 / 28 . , , 300 / . , , , , Spamhous . , . , ? – 0,1% , ! 1%, 300-, 3- . 10% DNS-, 30- . , 3 , , 30- , . .
, , 3 , , , 5 7 . -, . 3 , .
25 , 287 / 72 . – 31154, . – .
, 1 , , . 5 7 , 3 , IP-, 9 /, 0,1% DNS-. 300 / DDoS-.
, , , , , .
, , . , - , , , , .
– , , , . , , , , , .
, , , , . , . , , 23 CloudFlare, 50. X-.
, , , . Anycast BGP DNS, Anycast. HTTP-, . , – , .
Anycast, . , Anycast , . , 23 - , IP-, , Spamhous. , 300 / , - , - 13 / .
, . , , . , , .
29:00
BLACK HAT. DDOS- 300 / . 第二部分感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或将其推荐给您的朋友来支持我们,
为我们为您发明的入门级服务器的独特模拟,为Habr用户提供
30%的折扣: 关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
VPS(KVM)E5-2650 v4(6核)10GB DDR4 240GB SSD 1Gbps直到春季免费,在支付半年
费用时,您可以
在此处订购。
戴尔R730xd便宜2倍? 仅
在荷兰和美国,我们有
2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视(249美元起) ! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?