O ataque é conhecido como DNS Amplification (extensão do DNS) e tem sido usado esporadicamente desde dezembro do ano passado. Ele tomou dimensão, contudo, apenas quando o provedor de internet ISPrime começou a seguir um ataque de ‘distributed denial of service’ (DDOS). Um site pornô tentava derrubar o rival.
O ataque durou um dia inteiro e tinha poucos PCs gerando um grande número de tráfego na rede. Um dia após o primeiro ataque, um similar ocorreu e durou três dias. Antes da ISPrime filtrar o tráfego indesejado, os crackers conseguiram usar cerca de 5 GB por segundo da banda da empresa.
O provedor conseguiu eliminar o tráfego, mas segundo o diretor de inteligência de ameaças da SecureWorks, Don Jackson, ainda é possível ver muito uso da prática de DNS Amplification.
Segundo ele, na semana passada, operadores de botnets incluíram ferramentas de extensão do DNS às suas redes.
Em um ataque de DNS Amplification, um pequeno pacote, de 17 bytes, enviado a um servidor DNS, permite que este servidor seja enganado para enviar muito mais dados - cerca de 500 bytes, por exemplo - para a vítima do ataque.
Jackson estima que a invasão da ISPrime que usou 5 GB por segundo tenha sido feita com apenas 2 mil computadores, pelo envio de pacotes para milhares de servidores legítimos, que congestionaram a rede do provedor.
A ISPrime afirma que aproximadamente 750 mil servidores DNS legítimos foram usados no ataque.
A SecureWorks já produziu uma análise técnica sobre o truque de DNS Amplification.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário