Friday, April 21, 2017

Attack Description - Περιγραφή επίθεσης

Attack Description

DNS flood attacks should be clearly differentiated from DNS amplification attacks. DNS amplification is an asymmetrical DDoS attack in which the attacker sends out a small look-up query with spoofed target IP, making the spoofed target the recipient of much larger DNS responses. With these attacks, the attacker’s goal is to saturate the network by continuously exhausting bandwidth capacity.
DNS floods are symmetrical DDoS attacks. These attacks attempt to exhaust server-side assets (e.g., memory or CPU) with a flood of UDP requests, generated by scripts running on several compromised botnet machines.
A DNS flood attack is considered a variant of the UDP flood attack, since DNS servers rely on the UDP protocol for name resolution, and is a Layer 7 attack. With UDP-based queries (unlike TCP queries), a full circuit is never established, and thus spoofing is more easily accomplished.

DNS flood - 25 million packets per second
To attack a DNS server with a DNS flood, the attacker runs a script , generally from multiple servers. These scripts send malformed packets from spoofed IP addresses. Since Layer 7 attacks like DNS flood require no response to be effective, the attacker can send packets that are neither accurate nor even correctly formatted.

The attacker can spoof all packet information, including source IP and make it appear that the attack is coming from multiple sources. Randomized packet data also helps offenders to avoid common DDoS protection mechanisms, while also like IP filtering (e.g., using Linux IPtables) completely useless.

Περιγραφή επίθεσης
Οι επιθέσεις πλημμυρών DNS θα πρέπει να διαχωρίζονται σαφώς από τις επιθέσεις ενίσχυσης DNS. Η ενίσχυση DNS είναι μια ασύμμετρη επίθεση DDoS στην οποία ο εισβολέας στέλνει ένα μικρό ερώτημα αναζήτησης με φερόμενο IP στόχο, καθιστώντας τον πλασματικό στόχο τον αποδέκτη πολύ μεγαλύτερων αποκρίσεων DNS.
Με αυτές τις επιθέσεις, ο στόχος του εισβολέα είναι να κορεστεί το δίκτυο με συνεχή εξάντληση του εύρους ζώνης.
Οι πλημμύρες DNS είναι συμμετρικές επιθέσεις DDoS.
Αυτές οι επιθέσεις προσπαθούν να εξαντλήσουν στοιχεία διακομιστή (π.χ. μνήμη ή CPU) με μια πλημμύρα των αιτημάτων UDP, που δημιουργούνται από δέσμες ενεργειών που εκτελούνται σε πολλές συμβιβασμένες μηχανές botnet.
Μια επίθεση πλημμυρών DNS θεωρείται παραλλαγή της επίθεσης πλημμύρας UDP, δεδομένου ότι οι διακομιστές DNS βασίζονται στο πρωτόκολλο UDP για την επίλυση ονομάτων και είναι μια επίθεση του Layer 7.
Με ερωτήματα που βασίζονται σε UDP (σε αντίθεση με τα ερωτήματα TCP), δεν έχει καθιερωθεί ποτέ ένα πλήρες κύκλωμα και έτσι επιτυγχάνεται ευκολότερη πλαστογράφηση.
DNS πλημμύρας - 25 εκατομμύρια πακέτα ανά δευτερόλεπτοΓια να επιτεθεί σε διακομιστή DNS με πλημμύρα DNS, ο εισβολέας τρέχει σενάριο, γενικά από πολλούς διακομιστές. Αυτά τα σενάρια στέλνουν παραμορφωμένα πακέτα από παραπλανητικές διευθύνσεις IP. Δεδομένου ότι οι επιθέσεις του Layer 7 όπως η πλημμύρα DNS δεν απαιτούν καμία απάντηση για να είναι αποτελεσματικές, ο επιτιθέμενος μπορεί να στείλει πακέτα που δεν είναι ούτε ακριβή ούτε έχουν διαμορφωθεί σωστά.
Ο επιτιθέμενος μπορεί να παραποιήσει όλες τις πληροφορίες πακέτων, συμπεριλαμβανομένης της πηγής IP και να φανεί ότι η επίθεση προέρχεται από πολλές πηγές. Τα τυχαία πακέτα δεδομένων βοηθούν τους παραβάτες να αποφύγουν τους κοινούς μηχανισμούς προστασίας DDoS, ενώ ταυτόχρονα και το φιλτράρισμα IP (π.χ., χρησιμοποιώντας το Linux IPtables) είναι εντελώς άχρηστο.