FebHost获悉,神秘的攻击者在周末使用称为地毯式轰炸的DDoS技术攻击了一家南非的互联网服务提供商。
DDoS攻击发生在9月21日和22日的星期六和星期日,攻击目标是南非最大的ISP之一酷思。
从开放源代码报告工具可以看出,在DDoS期间,攻击者成功地设法切断了Cool Ideas与其他ISP的外部连接。
由于受到这种攻击,Cool Ideas客户在试图访问国际服务或网站的任何连接中都遇到了“间歇性连接丢失和性能下降”的问题,该公司在其公共状态页面上说。
讨厌您在宣布ddos攻击时尝试使用奇特的技术语言的事实。“国际流量”仅使用简单的英语,并告诉人们所有很棒的主意,客户将无法访问任何网站。人们会欣赏诚实。
-OldManChad(@ chad01209778)2019年9月22日
攻击者发起了后续攻击
虽然Cool Ideas并未回应FebHost昨天发送的评论请求,但Cool Ideas的联合创始人Paul Butschi 告诉当地新闻媒体,攻击者密切关注ISP如何处理攻击,他们做出了相应反应。
一旦Cool Ideas设法缓解了第一个DDoS攻击浪潮,并宣布正在缓慢恢复服务,几分钟之内又发生了另一次DDoS攻击,再次破坏了ISP的系统。
此外,Butschi透露这是提供商所面临的第二次主要DDoS攻击,另外9月11日又对该公司造成了攻击。
此外,今天早些时候,第四次攻击再次袭击了ISP。与最初的攻击不同,FebHost攻击了ISP的网站,而不是其网络,FebHost从一个消息人士那里获悉,该消息人士希望保持匿名,但提供攻击的证据。
DNS + CLDAP放大攻击,地毯式轰炸
攻击酷创意的所有攻击都是利用DNS和CLDAP协议的所谓DDoS放大攻击。
黑客将垃圾流量发送到未打补丁的DNS和CLDAP服务器,这反过来又以放大的大小反映了到Cool Ideas网络的流量,因此也就是DDoS放大攻击术语。
但是,最引人注目的是,黑客并未在Cool Ideas网络中的关键服务器之后进行经典的DDoS攻击。
相反,他们使用了一种称为地毯轰炸的技术,将垃圾DDoS流量发送到Cool Ideas网络中的随机IP地址。
在地毯式炸弹袭击中,Cool Ideas网络上的每个客户都收到了一些垃圾流量。垃圾流量不足以破坏每个客户的连接;但是,它的大小足以淹没Cool Ideas网络边界上的服务器,该服务器瘫痪了,最终也导致ISP的外部连接中断。
地毯炸弹可以绕过基本的DDOS缓解措施
也许有人会怀疑为什么攻击者一开始就没有直接针对Cool Ideas的边缘服务器。原因很简单-因为这些系统受到DDoS缓解解决方案的保护,并且在破坏所有垃圾流量之前不会造成任何危害。
通过将DDoS攻击针对Cool Ideas IP地址池中的随机IP,DDoS缓解系统没有看到针对特定目标的DDoS攻击,而是看到大量流量流向数以千计的ISP客户。怪异和异常,但不是典型的DDoS攻击。
随着DDoS流量的增长,边缘路由器逐渐不堪重负,最终崩溃,而DDoS缓解解决方案始终未能检测到任何攻击。
网络安全研究员塔克·普雷斯顿(Tucker Preston)在接受FebHost采访时说,地毯轰炸是一种“主要针对ISP的技术”,通常不会在其他任何地方使用。
普雷斯顿对我们说:“这种技术使诸如黑洞路由之类的基本缓解方法受挫,同时也避免了基于流量的检测。”
对ISP进行DDOS攻击并不难
此外,虽然可能会认为要撤出整个互联网服务提供商是一项艰巨的任务,但现实是这些攻击经常发生。
例如,对整个ISP的攻击以前已经发生过,并且针对利比里亚和柬埔寨的 ISP ,这只是FebHost在以前的报告中提到的最引人注目的攻击。两者都是地毯炸弹袭击。
普雷斯顿在接受FebHost采访时说:“通常来说,这些攻击足以引起整个网络的服务中断,并导致网络速度减慢。”
他说:“有时候,攻击是在高峰浏览时间进行的,以使用户更加沮丧。” “坚定的攻击者似乎确实有动机引起客户尽可能多的不满,从而给提供者造成损失,并造成不良新闻。”
此外,攻击者并不总是需要大型的DDoS僵尸网络来破坏ISP,也不需要不断地用垃圾流量锤击提供商的网络。
普雷斯顿说:“针对互联网服务提供商的为期数天的攻击并非闻所未闻;但是,在高峰时段安排短暂的突发性中断服务同样有效。” 诸如VOIP和游戏之类的实时应用无处不在,这意味着最终用户期望可靠的连接而不会丢失数据包。”
但是普雷斯顿还表示,如今,大多数ISP都具有缓解此类攻击的工具。例如,他们可以在DDoS缓解平台上部署DOTS(DDoS开放威胁信号)协议,并共同协作,在到达目标网络之前很长一段时间就针对参与成员之一的不良流量。
此外,普雷斯顿还指出,像BGP flowspec这样的解决方案也可以帮助ISP防止使用地毯式轰炸方法的DDoS攻击。
DDoS地毯轰炸技术并不是什么新鲜事物。已经有十多年的文献记载了。DDoS缓解公司Netscout在最近的一次演讲中指出,地毯炸弹袭击在2018年激增。
Netscout研究人员将这种技术的普及归咎于近年来DDoS僵尸网络和DDoS出租服务的激增。如今,该技术已被广泛使用,并且现在经常出现在对大型目标的攻击中,这些大型目标具有自己的AS编号和IP地址池,例如ISP,数据中心,Web托管公司,云提供商或大型公司网络。
如果这些公司中的任何一家未能在现代DDoS缓解工具和协议上进行投资,他们通常会因此而遭受中断。在所有这些公司中的大多数都没有升级保护之前,即使已经有许多解决此类DDoS攻击的解决方案,DDoS地毯式轰炸仍将是当前的威胁。