Bezpečnostní tým Active24 zaznamenal další DDoS útok ze sítě RETN

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: ScheRas
Datum: 28.11.2013
Hodnocení/Hlasovalo: 0/0

Podle dostupných informací přichází útok ze stejné sítě, jako během březnových DoS útoků a cílem útoku není pouze síť společnosti ACTIVE 24.

Z technického hlediska jde o DNS amplification attack, při kterém je zneužívána doména fkfkfkfa.com.

DNS amplification attack (překládáno jako DNS zesilující útok) spočívá v posílání DNS dotazů se zdrojovou IP adresou nastavenou na IP adresu oběti. Tento útok je považován za jeden z nejsilnějších útoků, jelikož jeho zesílení může dosáhnout více jak 70 násobku původních dat.

Žádost o překlad mívá průměrně 80 B. Odpověď na takový dotaz může mít maximálně 512 B. To nám dává asi šestinásobné zesílení. Šikovnější útočník využije DNS server s podporou EDNS, což je rozšíření, které umožňuje odpovědi větší než 4 KB.

Možná se ptáte, jak může být odpověď tak velká. Je to jednoduché. Součástí EDNS odpovědi jsou totiž také TXT záznamy, do kterých útočník uloží schválně dlouhé řetězce.