2月初旬に記録されたルートDNSサーバーへの攻撃は、一種のプロモーションであった可能性があります。 広告主は、ボットネットを使用して大規模な攻撃を組織化する可能性を実証しています。 Darkreading.comのレポートによると、このバージョンは、ドメイン名の任命機関であるICANNの代表者による特別な文書で提案されました。
プロモーションのバージョンは非常に興味深いようです、OpenDNSおよびEveryDNSのDNSサービスディレクターであるDavid Ulevitchに同意します。「ICANNの代表者は、ボットネットの強さと能力を実証しようとしている人物であると示唆しました。カスタム使用。 これは、DNSサーバー自体に対するグローバルキャンペーンに備えたテスト攻撃ではなく、安全性の低いターゲットに対してこの潜在能力を使用できる誰かにボットネットの潜在能力を示す方法についてです。」 Ulevichによると、新しい同様の攻撃が可能ですが、サーバーの動作を不安定にする可能性は低いとのことです。
ルートDNSサーバーに対する2月の攻撃は、エニーキャストテクノロジーがそれらを保護するのにどれほど効果的であるかを証明しました。 このテクノロジーには、複数の物理(ハードウェア)サーバー上のDNSサーバーのIPアドレスの場所が同時に含まれ、エニーキャストアドレスに送信されたDNS要求は最も近いサーバーに配信されます。 ICANNの代表者によると、エニーキャストをまだ使用していない5台のDNSサーバーは近い将来転送されます。
ICANNが特別な技術トレーニングを受けていない視聴者向けに作成したドキュメントも、数字で表された攻撃力に注目しています。 一部のルートサーバーに向けられたトラフィックのフローは1ギガビット/秒に達しました。これは、1秒間に1万3千メールまたは2分で150万メールに相当します。 攻撃は午前7時ごろから始まり、2.5時間続きました。 DDOS攻撃の2番目の波は3時間半後に始まり、5時間続きました。 ICANNのレポートは、攻撃が「通常の」インターネットユーザーに影響を与えたという初期の推定を確認しています。 また、この文書は、攻撃の起点となる可能性のある地域に関する以前の仮説を確認しました。これは、東アジア地域の国の1つであることが判明しました。 ただし、ボットネットが正確に韓国の領土に位置していたという説得力のある証拠はありません。
ICANNによると、攻撃は複数の国から行われた可能性があります。 ただし、クエリがDNSサーバーに送信されたIPアドレスをシミュレートできるという事実を考慮すると、これを明確に述べることはできません。 攻撃のソースは、世界の他の地域にあるいわゆるゾンビマシンである可能性があります。
最大の負荷は、オハイオ州に位置し、米国国防総省が管理するDNSサーバーGと、カリフォルニア州に位置し、ICANNが管理するサーバーIでした。 これらの2台のサーバーは、エニーキャストを使用しなかった6つの攻撃の唯一のものでした。 ICANNの代表者によると、エニーキャストテクノロジーの不完全な実装は、ルートオペレーターの意識的な決定でした。 「複数の異なるサーバーを単一のエントリポイントとして提示すると、セキュリティリスクが生じる可能性があるという懸念がありました」と、ドキュメントは述べています。 オペレーターの計画によると、最初にいくつかのサーバーでテストを実施し、次に欠点を排除する必要がありました。
将来の攻撃に対処するため、ICANNは昨年、DNSオペレーターがリクエストソースのIPアドレスを確認し、信頼できるリソース(たとえば、自分のクライアント)からのリクエストのみを受け入れることを推奨しました。 ICANNは、これらの推奨事項が「さまざまな成功」で満たされたことを認めました。
ソース: www.viruslist.com/ru/news?id=207391851
ソース: www.darkreading.com/document.asp?doc_id=119128
ルートDNSサーバーへのDDOS攻撃がプロモーションであることが判明
All Articles