A
в доверенные корневые центры тоже устанавливал,тоже самое
Size: a a a
2021 August 28
AT
Это успех, ребятки!
AT
Ящик Пандоры открыли исследователи из Мэрилендского университета и Университета Колорадо в Боулдере, представив новый вектор DDoS-атак, способных гарантированно положить любую цель в сети.
Вновь обнаруженная техника DDoS позволяет добиться коэффициента усиления 1000x и более путём злоупотребления протоколом TCP, а для ее проведения задействуются миддлбоксы: брандмауэры, трансляторы сетевых адресов (NAT), балансировщики нагрузки и системы глубокой проверки пакетов (DPI).
Новая форма рефлекторной DDoS на основе TCP гораздо более разрушительна, нежели традиционные атаки с использованием UDP (SNMP, DNS, NetBIOS, CoAP и NTP), которые имеют коэффициент усиления от 2 до 10, крайне редко - до 100.
Исторически сложилось так, что для усиления DDoS операторы бот-сети применяли технику IP-спуфинга, позволяющую генерировать полезную нагрузку с промежуточного сервера, работающего на протоколе UDP, реализующего простой двухэтапный процесс запроса и ответа.
TCP-соединения всегда начинались с трехстороннего рукопожатия и до настоящего времени никому не удавалось реализовать IP-спуфинг, так как хакеры не могли завершить рукопожатие.
Но такой способ нашёлся.
Виной всему миддлбоксы, предназначенные для контроля сетевого трафика.
Оказывается, что вместо того, чтобы пытаться воспроизвести трехстороннее рукопожатие в TCP-соединении, можно отправить комбинацию нестандартных последовательностей пакетов в промежуточный ящик для эмуляции завершения TCP-пожатия, позволяя обработать соединение.
В обычных условиях аномалии не произойдёт, однако если попытаться получить доступ к запрещенному веб-сайту, отправляя неправильно сформированную последовательность TCP-пакетов в медианную коробку (брандмауэр, ящик DPI и т. д.), то средний ящик обязан ответить «блокирующей страницей», HTML которой он будет отправлять жертвам, которые даже могут не находиться в их внутренних сетях, благодаря IP-спуфингу. При этом ответ содержит гораздо больший объём, чем первоначальные пакеты, что создаёт гигантский эффект усиления.
Как выяснили ученные, лучший эффект усиления TCP DDoS создают ресурсы, заблокированные национальными системами цензуры. Из всех возможных узлов, они выделили 5 доменов, которые будут надежным «триггером» для этих атак (поскольку получают ответы от большинства промежутких ящиков в Интернете): youporn.com, roxypalace.com, plus.google.com, bittorrent.com, survive.org.uk.youporn.com, roxypalace.com, plus.google.com, bittorrent.com, survive.org.uk.
Однако коэффициенты усиления варьируются в зависимости от типа устройства middlebox, поставщика, конфигураций и настройки сети. В результате скандирования всей сети по IPv4 исследователям удалось найти 200 миллионов IP-адресов ящиков, которыми можно злоупотреблять для TCP DDoS-атак, при этом тысячи из них реализуют коэффициенты в диапазоне 1000 - 100 000 000, что настоящее время считается немыслимым для таких атак.
Самое интересное, что такие устройства чаще всего используются в государственных системах Интернет-цензуры, прежде всего, в Китае, Саудовской Аравии, России и Великобритании.
Многие из этих систем работают с огромными нагрузками трафика и неправильно настроенными циклами трафика, которые отправляют один и тот же неправильно сформированный TCP-пакет несколько раз через одни и те же или другие промежуточные ящики, эффективно позволяя совершать атаки DDoS бесконечных циклов. Как отмечено в исследовании - это наиболее характерно для России и КНР.
А теперь неутешительные выводы:
- исследование позволяет воспроизвести вектор любому хакеру, обладающему скилами;
- вектор атаки скорее всего не будет исправлен в принципе;
- исправления для уязвимых систем ослабляет их возможности фильтрации трафика;
- исправление конфигураций middlebox требует значительных вложений и времени;
- мировая инфраструктура столкнётся с новыми атаками уже в самом ближайшем будущем.
Похоже, что старый добрый DDoS похоже скоро вернёт себе утраченное со временем место в хакерской индустрии, и может стать куда серьёзной угрозой, чем злободневный ransomware.
Вновь обнаруженная техника DDoS позволяет добиться коэффициента усиления 1000x и более путём злоупотребления протоколом TCP, а для ее проведения задействуются миддлбоксы: брандмауэры, трансляторы сетевых адресов (NAT), балансировщики нагрузки и системы глубокой проверки пакетов (DPI).
Новая форма рефлекторной DDoS на основе TCP гораздо более разрушительна, нежели традиционные атаки с использованием UDP (SNMP, DNS, NetBIOS, CoAP и NTP), которые имеют коэффициент усиления от 2 до 10, крайне редко - до 100.
Исторически сложилось так, что для усиления DDoS операторы бот-сети применяли технику IP-спуфинга, позволяющую генерировать полезную нагрузку с промежуточного сервера, работающего на протоколе UDP, реализующего простой двухэтапный процесс запроса и ответа.
TCP-соединения всегда начинались с трехстороннего рукопожатия и до настоящего времени никому не удавалось реализовать IP-спуфинг, так как хакеры не могли завершить рукопожатие.
Но такой способ нашёлся.
Виной всему миддлбоксы, предназначенные для контроля сетевого трафика.
Оказывается, что вместо того, чтобы пытаться воспроизвести трехстороннее рукопожатие в TCP-соединении, можно отправить комбинацию нестандартных последовательностей пакетов в промежуточный ящик для эмуляции завершения TCP-пожатия, позволяя обработать соединение.
В обычных условиях аномалии не произойдёт, однако если попытаться получить доступ к запрещенному веб-сайту, отправляя неправильно сформированную последовательность TCP-пакетов в медианную коробку (брандмауэр, ящик DPI и т. д.), то средний ящик обязан ответить «блокирующей страницей», HTML которой он будет отправлять жертвам, которые даже могут не находиться в их внутренних сетях, благодаря IP-спуфингу. При этом ответ содержит гораздо больший объём, чем первоначальные пакеты, что создаёт гигантский эффект усиления.
Как выяснили ученные, лучший эффект усиления TCP DDoS создают ресурсы, заблокированные национальными системами цензуры. Из всех возможных узлов, они выделили 5 доменов, которые будут надежным «триггером» для этих атак (поскольку получают ответы от большинства промежутких ящиков в Интернете): youporn.com, roxypalace.com, plus.google.com, bittorrent.com, survive.org.uk.youporn.com, roxypalace.com, plus.google.com, bittorrent.com, survive.org.uk.
Однако коэффициенты усиления варьируются в зависимости от типа устройства middlebox, поставщика, конфигураций и настройки сети. В результате скандирования всей сети по IPv4 исследователям удалось найти 200 миллионов IP-адресов ящиков, которыми можно злоупотреблять для TCP DDoS-атак, при этом тысячи из них реализуют коэффициенты в диапазоне 1000 - 100 000 000, что настоящее время считается немыслимым для таких атак.
Самое интересное, что такие устройства чаще всего используются в государственных системах Интернет-цензуры, прежде всего, в Китае, Саудовской Аравии, России и Великобритании.
Многие из этих систем работают с огромными нагрузками трафика и неправильно настроенными циклами трафика, которые отправляют один и тот же неправильно сформированный TCP-пакет несколько раз через одни и те же или другие промежуточные ящики, эффективно позволяя совершать атаки DDoS бесконечных циклов. Как отмечено в исследовании - это наиболее характерно для России и КНР.
А теперь неутешительные выводы:
- исследование позволяет воспроизвести вектор любому хакеру, обладающему скилами;
- вектор атаки скорее всего не будет исправлен в принципе;
- исправления для уязвимых систем ослабляет их возможности фильтрации трафика;
- исправление конфигураций middlebox требует значительных вложений и времени;
- мировая инфраструктура столкнётся с новыми атаками уже в самом ближайшем будущем.
Похоже, что старый добрый DDoS похоже скоро вернёт себе утраченное со временем место в хакерской индустрии, и может стать куда серьёзной угрозой, чем злободневный ransomware.
АЖ
Типо будут всех валить ответами от заглушек, это маловероятно, это разные платформы, и настроены так, что отвечают только своим хостам.
I
баян
VK
но написано страшно.
АЖ
Заглушка - это http сайт, тьма таких.
ii
Поделитесь опытом как построить Pon по крышам домов? С конька на конёк. Кто нибудь реализрвывал?
ii
Опоры в аренду нам не дают. Свои ставить дорого 15к за опору
ii
Лучше как сделать технически. С договорами разберёмся
L
эм... Если прям всё по нормам то ставите небольшие мачты на расчалках на крышах, между ними трос, по тросу опта (или опта с тросом сразу, тоже как вариант).
Если "и так сойдёт" то в вертикальную поверхность анкер, за анкер талреп с крюком и между такими точками натягивать опту.
Места надо с умом выбирать, закрепление за какие нибудь стенки которые тупо лежат на крыше - плохая идея. По факту одинаковых точек у вас не будет)))
Если "и так сойдёт" то в вертикальную поверхность анкер, за анкер талреп с крюком и между такими точками натягивать опту.
Места надо с умом выбирать, закрепление за какие нибудь стенки которые тупо лежат на крыше - плохая идея. По факту одинаковых точек у вас не будет)))