DDoS, ktorý nebol: kľúčový krok pre bezpečnosť webovej domény

  • Oct 17, 2023

Štyri miliardy žiadostí boli odoslané na webovú stránku naraz, ale DDoS útok nebol dôvodom.

Keď si Akamai všimol nárast návštevnosti webovej domény, spoločnosti sa dalo odpustiť, že si myslela: ďalší deň, ďalší útok distribuovaného odmietnutia služby (DDoS).

Útoky DDoS sú bežnou metódou útoku, prístupnou všetkým, ktorá využíva škodlivý prenos na narušenie prevádzky webových stránok a online služieb. Návštevnosť sa často generuje prostredníctvom botnetov tvorených zotročenými zariadeniami od počítačov po internet vecí (IoT). produkty vrátane smerovačov, inteligentného osvetlenia a smartfónov, ktorým sa súčasne vydáva príkaz na návštevu webovej stránky čas.

Bezpečnosť

  • 8 návykov vysoko bezpečných vzdialených pracovníkov
  • Ako nájsť a odstrániť spyware z telefónu
  • Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
  • Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej

Náhle nárasty návštevnosti môžu preťažiť systémy a zabrániť legitímnym používateľom v prístupe k online zdroju.

Bol to jeden z najväčších zaznamenaných DDoS útokov zažil GitHub minulý rok útok, ktorý vyvrcholil rýchlosťou 1,3 Tbps.

V tomto prípade, ktorý sa odohral začiatkom roka 2018, bol podľa prípadovej štúdie zistený nárast návštevnosti smerujúci k webovej stránke patriacej zákazníkovi Akamai v Ázii. ktorý má byť zverejnený poskytovateľom cloudových služieb v stredu.

Počiatočný nárast návštevnosti – viac ako štyri miliardy žiadostí – bol taký veľký, že bol blízko k zlyhaniu protokolovacích systémov. V priemere potom web prijal 875 000 požiadaviek za sekundu s objemom prevádzky dosahujúcim 5,5 Gbps.

Takéto obrovské množstvo návštevnosti bez kontextuálneho dôvodu je charakteristickým znakom typického DDoS.

Nemenovaný zákazník však mal dostať lekciu o tom, ako môže byť zabugovaný kód rovnako rušivý ako externý kybernetický útok.

Pozri tiež: Tento botnet zachytáva vaše inteligentné zariadenia, aby vykonávali DDoS útoky s malou pomocou od Mirai

Incident bol nahlásený Akamai Security Operations Command Center (SOCC), ktoré začalo niekoľko dní pred dňom útoku s pomocou výskumníkov SIRT skúmať dopravné toky.

„Niekoľko dní pred vrcholom sa k adrese URL zákazníka približovalo 139 IP adries s presne rovnakými „útočnými“ funkciami,“ hovorí Akamai. "Táto adresa URL sa zmenila zo 643 žiadostí na viac ako štyri miliardy za menej ako týždeň."

Takmer polovica adries IP bola označená ako brány prekladu sieťových adries (NAT) a neskôr sa zistilo, že predmetná prevádzka bola generovaná objektom COM systému Microsoft Windows, WinhttpRequest.

Typická prevádzka presmerovaná do domény pred incidentom obsahovala požiadavky GET aj POST. „Zlomyseľná“ prevádzka však odosielala iba prúd požiadaviek POST.

CNET: Koniec odstávky znamená, že vládni technickí pracovníci sa môžu vrátiť do práce

„Skúmanie všetkých požiadaviek POST zasahujúcich do adresy URL zákazníka ukázalo, že polia User-Agent neboli sfalšované ani inak pozmenené, čím sa dôvera výskumníkov dospela k záveru, že za túto obrovskú záplavu požiadaviek je zodpovedný nástroj orientovaný na Windows,“ dodáva poskytovateľ cloudových služieb hovorí.

Aby mala firma čas na to, aby zistila, čo robí, SOCC dokázala zmierniť väčšinu podivných požiadaviek nasledujúcich 28 hodín, čo viedlo k zisteniu, že návštevnosť, ktorá prelomila adresu URL, bola „výsledkom zmiznutia záručného nástroja haywire."

TechRepublic: V aplikácii Android ES File Explorer sa našla hlavná chyba zabezpečenia

Problémom bol bugový kód a nie botnet. Chyby záručného nástroja znamenali, že odosielal neustále požiadavky POST na doménu automaticky a s dostatočnou frekvenciou na potenciálne odstránenie webovej stránky.

Opravu vytvoril a rýchlo nasadil predajca, ktorý zavinil nástroj, ktorý problém vyriešil.

Je dôležité poznamenať, že nie všetky roboty sú zlé a mnohé sa používajú na legitímne účely, ako sú záručné systémy, prehľadávanie vyhľadávacími nástrojmi, archivácia a agregácia obsahu. Útoky DDoS sú bežné, ale ak by nárast návštevnosti ovplyvnil doménu, prevádzkovatelia webových stránok musia tiež preskúmať ďalšie dôvody pomalých reakcií a prerušení, ktoré môžu spôsobiť špičky návštevnosti.

Spoločnosť tiež vydala a samostatná správa o DDoS útokoch, ku ktorým došlo v posledných rokoch. Nižšie je uvedený graf sily väčšiny útokov DDoS zaznamenaných v rokoch 2017 – 2018, pričom priemerný DDoS sa vo všeobecnosti vyskytuje v rozsahu 1 Gb/s.

Akamai

Toto sú najhoršie hacky, kybernetické útoky a porušenia údajov v roku 2018

Predchádzajúce a súvisiace pokrytie

  • DDoS útoky: Študenti sú obviňovaní z mnohých univerzitných kybernetických útokov
  • Muž sa priznal k spusteniu DDoS útokov proti bývalým zamestnávateľom
  • Nový DDoS botnet ide po podnikových serveroch Hadoop