Kuzey Afrika’da küçük bir perakende işletmesi, bir Kuzey Amerika telekomünikasyon sağlayıcısı ve iki ayrı dini kuruluş: Ortak noktaları neler? Hepsi, web sitelerini ve hizmetleri bozmak veya tamamen ortadan kaldırmak için tasarlanmış dağıtılmış hizmet reddi saldırılarında aylar veya yıllar boyunca İnternet’e saniyede gigabaytlarca önemsiz veri püskürten, kötü yapılandırılmış Microsoft sunucuları çalıştırıyor.
Toplamda, ağ ve uygulama teknolojisi şirketi Lumen’in araştırma kolu olan Black Lotus Labs’ın yakın zamanda yayınladığı bir araştırma, düzenli olarak dağıtılmış sunucuların boyutunu büyütmek için kullanılan 12.000’den fazla sunucu tespit etti. – hizmet reddi saldırıları veya DDoSe’ler.
Bitmeyen bir silahlanma yarışı
DDoSers, onlarca yıldır hiç bitmeyen bir silahlanma yarışında savunucularla savaştı. Başlangıçta, DDoSers, giderek daha fazla sayıda İnternet bağlantılı cihazı botnetlere bağladı ve ardından bunları aynı anda bir hedefe işleyebileceğinden daha fazla veri göndermek için kullandı. Hedefler (oyunlar, yeni siteler ve hatta İnternet altyapısının önemli direkleri olsun) çoğu zaman baskı altında büküldü ve ya tamamen düştü ya da bir damlama kadar yavaşladı.
Lumen, Netscout, Cloudflare ve Akamai gibi şirketler daha sonra önemsiz trafiği filtreleyen ve müşterilerinin sellere dayanmalarını sağlayan savunmalarla karşılık verdi. DDoSers, bu savunmaları geçici olarak engelleyen yeni saldırı türleri sunarak yanıt verdi. Yarış oynanmaya devam ediyor.
DDoSer’ların üstünlük sağlamak için kullandığı başlıca yöntemlerden biri yansıma olarak bilinir. DDoSers, gereksiz trafiğin torrentini doğrudan hedefe göndermek yerine, bir veya daha fazla üçüncü tarafa ağ istekleri gönderir. Ağlarında bilinen yanlış yapılandırmalara sahip üçüncü tarafları seçerek ve istekleri hedef tarafından gönderilmiş gibi gösterecek şekilde sahtekarlıkla üçüncü taraflar, verileri genellikle onlarca, yüzlerce ve hatta binlerce boyutta hedefe yansıtıyor. orijinal yükten birkaç kat daha büyük.
Daha iyi bilinen yansıtıcılardan bazıları, açık DNS çözümleyicileri, ağ zaman protokolü, veritabanı önbelleğe alma için memcached ve Nesnelerin İnterneti cihazlarında bulunan WS-Keşif protokolü gibi hizmetleri çalıştıran yanlış yapılandırılmış sunuculardır. Amplifikasyon saldırıları olarak da bilinen bu yansıtma teknikleri, rekor kıran DDoSe’lerin en küçük botnetler tarafından teslim edilmesini sağlar.
Etki alanı denetleyicileri saldırdığında
Geçen yıl boyunca, artan bir yansıma saldırısı kaynağı, Bağlantısız Basit Dizin Erişim Protokolü olmuştur. Endüstri standardı Hafif Dizin Erişim Protokolünün bir Microsoft türevi olan CLDAP, Windows istemcilerinin kullanıcıların kimliğini doğrulamak için hizmetleri keşfedebilmesi için Kullanıcı Datagram Protokolü paketlerini kullanır.
Black Lotus Labs araştırmacısı Chad Davis bir e-postada “MS Server’ın hala çalışmakta olan birçok sürümü varsayılan olarak bir CLDAP hizmetine sahiptir” dedi. “Bu etki alanı denetleyicileri açık İnternet’e maruz kalmadığında (bu, dağıtımların büyük çoğunluğu için geçerlidir), bu UDP hizmeti zararsızdır. Ancak açık İnternet’te tüm UDP hizmetleri yansımaya karşı savunmasızdır.”
DDoSers, veri torrentlerini 56 ila 70 kat büyütmek için en az 2017’den beri protokolü kullanıyor ve bu da onu mevcut daha güçlü reflektörler arasında yapıyor. CLDAP yansıması ilk keşfedildiğinde, hizmeti internete açan sunucuların sayısı onbinleri buluyordu. Kamuoyunun dikkatini çektikten sonra sayı düştü. Bununla birlikte, Black Lotus Labs’e göre, 2020’den bu yana, sayı yalnızca son 12 ayda yüzde 60’lık bir artışla bir kez daha tırmandı.