Anonymous опубликовал анонс операции «Глобальный блэкаут». Согласно тексту, на 31 марта запланирована глобальная распределённая атака на 13 корневых DNS-серверов, они перечислены ниже. A 198.41.0.4 B 192.228.79.201 C 192.33.4.12 D 128.8.10.90 E 192.203.230.10 F 192.5.5.241 G 192.112.36.4 H 128.63.2.53 I 192.36.148.17 J 192.58.128.30 K 193.0.14.129 L 199.7.83.42 M 202.12.27.33 Вероятно, Anonymous не принимают в расчёт, что каждый IP-адрес (каждый сервер) — это не отдельный сервер, а большой кластер, распределённый физически по разным адресам. Нужно иметь поистине гигантскую распределённую систему, чтобы надеяться зафлудить эту сеть дата-центров.
Поэтому странно даже видеть такие попытки атаки. Тем не менее, авторы сообщения правы в одном — корневые DNS-серверы действительно являются самым слабым звеном в инфраструктуре интернета.
«Когда они перестанут работать, никто в интернете не сможет резолвить домены и набирать адрес сайтов привычными словами, что является самой используемой функцией веба. Набрав привычный адрес, люди получат ошибку и будут думать, что интернет не работает, и это недалеко от истины. Помните, что это только протест, мы не собираемся «уничтожать интернет», мы просто временно выводим из строя самое слабое место, — пишут анонимные авторы. — Хотя некоторые ISP-провайдеры используют кэширование DNS, у большинства из них стоит маленькая задержка на обновление кэша, так что у них нет запасного плана в случае выхода из строя корневых DNS-серверов. Кэширующие сервера провайдеров используются в основном для скорости, а не для надёжности».
Anonymous разработали специальную DDoS-программу Reflective DNS Amplification, которую собираются использовать в данной атаке. Она основана на AntiSec DHN, содержит несколько багфиксов, другой список целей и слегка оптимизирована для производительности.
Принцип прежний: поток фальшивых пакетов UDP должен вызвать кучу DNS-запросов, которые перенаправятся и отразятся в сторону этих 13-ти DNS-серверов. Здесь используется та же самая уязвимость в UDP, которая позволяет изменить IP-адрес в пакете, таким образом, подделав источник DNS-запроса.
Уязвимый DNS-сервер должен ответить на каждый запрос на поддельный IP-адрес корневого DNS. Поскольку ответ всегда больше, чем запрос, поток ответов зафлудит данный IP. Данная атака называется усиленной, потому что используется малый поток пакетов для генерации большого трафика.
Атака базируется на простых IP-адресах, поэтому она будет продолжаться даже после выведения серверов из строя. В это время никто не сможет обратиться к корневым серверам, что затруднит работу специалистов, которые будут пытаться исправить ситуацию. «Вероятно, down серверов продлится час, может быть больше, может быть несколько дней, — пишут Anonymous. — Это неважно, потому что такое событие заметят все, оно будет глобальным».
|