Blog

Dyn (DynDNS) DDoS Attack- Hebrew

 

"כנראה התקפת הDDOS המורגשת ביותר עד כה" 

תקציר

ביום שישי ה21/10/2016, מיליוני משתמשים בצפון אמריקה וברחבי העולם חוו בעיות תקשורת עם אתרים בולטים כגון: Twitter ,Paypal ,Spotify ,AWS ועוד רבים אחרים. זאת בעקבות התקפה גדולה על שרת Dyn הנמנה בין שרתי הDNS המוכרים והמשמעותיים בתעשייה. על פי DYN ההתקפה התקיימה בין השעות 11:00-17:00.

DYN, הידוע גם כDynDNS, הינו ספק DNS גדול בעל לקוחות רבים וחשובים (PayPal, Netflix, SaleForce, Deutsche Telekom, TripAdvisor, LinkedIn and more) שכאמור חוו לאחרונה מתקפת DDoS. ההתראה הראשונה שפרסמו Dyn בעמוד הstatus היתה בשעה 11:10 UTC. התקפת הDyn DDoS, השפיעה על שירות הDNS המסופק על ידיהם וכן על שירות הניטור המתקדם. ההתקפה המשיכה עד השעה 19:00 UTC, כאשר זמנה הכולל עמד על שמונה שעות, במהלכן התקיימו שלוש מכות (strikes).

אתרים רבים המקבלים שירות משרת זה פרסמו דיווחים בנוגע להשפעת ההתקפה עליהם בניהם: Amazon ,PayPal ,Twitter ו-GitHub (ראה טבלה מפורטת מטה). ניתן לציין המלצות קצרות וארוכות טווח עבור ארגונים שהושפעו מהתקפה זו:

על פי מספר אתרים [1], ניתן לאשר כי רשת הבוטים העומדת מאחורי התקפה זו הינה: Mirai Botnet. רשת זו הפכה מפורסמת לאחרונה בהתקפתה את הבלוג KerbsonSecurity. הרשת ידועה כמבוססת על IoT (אינטרנט של דברים) לפחות בחלקה המכנה לא את כוח התקיפה רב.

לקוחות שהושפעו מההתקפה

להלן רשימת לקוחות חלקית שאתרם הושפע כתוצאה מהתקפת הDyn DDoS:

 

לקוח התראה מקור
 AWS AWS דיווחה על בעיית חיבוריות בקנה מידה מצומצם למספר לקוחות קצה. הסיבה היתה:"אירוע זמינות באחד מספקי צד שלישי של שירות DNS. כעת הופעלו על ידנו ההגנות הדרושות על מנת למנוע את השפעת האירוע". AWS- עמוד סטטוס
 PayPal התראה- השפעה משמעותית על PayPal APIs והאתר של PayPal.  PayPal- עמוד הודעות
 Twitter דווחו בעיות ב21.10.2016 עבור API/ שירותי הDev.  עמוד סטטוס Dev/API של Twitter
GitHub 19:36 BST: אנו חוקרים סוגיית DNS ב GitHub.com

21:35 BST: עברנו לספק DNS תקין. כתוצאה מכך עלולות להיווצר

בעיות cache.

GitHub- עמוד סטטוס

 

לקוח התראה מקור
 AWS AWS דיווחה על בעיית חיבוריות בקנה מידה מצומצם למספר לקוחות קצה. הסיבה היתה:"אירוע זמינות באחד מספקי צד שלישי של שירות DNS. כעת הופעלו על ידנו ההגנות הדרושות על מנת למנוע את השפעת האירוע". AWS- עמוד סטטוס
 PayPal התראה- השפעה משמעותית על PayPal APIs והאתר של PayPal.  PayPal- עמוד הודעות
 Twitter דווחו בעיות ב21.10.2016 עבור API/ שירותי הDev.  עמוד סטטוס Dev/API של Twitter
GitHub 19:36 BST: אנו חוקרים סוגיית DNS ב GitHub.com

21:35 BST: עברנו לספק DNS תקין. כתוצאה מכך עלולות להיווצר בעיות cache.

GitHub- עמוד סטטוס

ניתוח ההתקפה

מקור המידע העיקר בנוגע להתקפת הDyn DDoS מסופק ע"י חברת Flashpoint אשר חקרה את ההתקפה עבור [1] Dyn. להלן עיקרי הדברים:

  • במסגרת הזמן בו התרחשה ההתקפה, Flashpoint אישרו כי חלק מן ההתקפה התחיל באמצעות Mirai.
  • בחודש הנוכחי, בוצע שימוש ברשת בוטים זו לצורך התקפה נגד הבלוג "Krebs on Security" וכן נגד "OVH", ספק אינטרנט ושירותי אחסון צרפתי.
  • חרף ספקולציות בנושא Flashpoint מסוגלים לקבוע ברמת ביטחון מתונה כי המניע מאחורי התקפת הDyn DDoS אינו פוליטי.

*רד- באטן ממליצה לקחת מידע זה בעירבון מוגבל, בייחוד בשל העובדה כי ייתכן ומידע זה פורסם על מנת לשמור על מוניטין הלקוח.

שאלות שנותרו פתוחות

  1. מהם וקטורי התקיפה של Dyn DDoS ועצמתם?
  2. האם Dyn הותקף ישירות או שמא אחד מלקוחות Dyn?
  3. מהם אמצעי ההגנה בהם Dyn עושה שימוש? האם הם מבוססים על שרתים חזקים נטו או מבוססים על טכנולוגיות הגנה? אם כן אילו?
  4. מדוע הגנת הDDoS של Dyn נכשלה? האם כתוצאה מגודלה העצום של ההתקפה או אולי בגלל כשל בהגנה? במילים אחרות, האם Dyn "פישלו" או שההקתפה ההייתה חסרת תקדים.

המלצות

המלצת רד באטן היא לא להסתמך על ספק DNS יחיד. בפועל, אלה מבין לקוחותינו אשר רכשו ספק נוסף מלבד Dyn לא הושפעו מהתקפה זו כלל.

להלן המלצות נוספות מסודרות על פי רמת החוסן מפני DDoS. אנו מבינים כי לחלק מהקוחות המלצות אלו עלולות להיות קשות ליישום. ולכן אנו מציינים גם את שיקולים, בעיות ודרכי פיתרון תחת הפסקה 'סוגיות ושיקולים'.

  1. שני שרתי DNS פעילים
    הסתמכות על שני שרתי DNS פעילים במצב 'active active' הוא הפיתרון החסין ביותר.
  2. שרת ראשי ושרת משני
    הפעלת השרת המשני מתבצעת רק במידה והראשי מותקפף ומספיק לתפקד.
  3. "תכנית משחק"
    אם אינך יכול להחזיק שרת DNS משני, יש לתכנן מראש מהן הפעולות שינקטו במידה ושרת הDNS המספק לך שירות ייפול, שעה שעדיין לא רכשת שרת נוסף כגיבוי. לדוגמה, ביכולתך להשתמש בשרת הDNS פנים ארגוני או לחלופין לרכוש במהירות שרת נוסף.

למידע נוסף, המלצות על ספקי DNS ותמיכה במצבי חירום, צרו איתנו קשר כאן.

היסטוריית התקפות DNS ופרטים טכניים

התקפות DDoS על שרתי DNS הינן פופלאריות ביותר ומהוות אמצעי תקיפה מועדף בידי האקרים ממספר סיבות:

  1. שרת הDNS מתפקד כ'נקודת כשל בודדת' עבור שירותי אינטרנט. כאשר שרת הDNS נופל, כל השירותים המסתמכים עליו נופלים גם הם.
  2. פעולת הDNS מתבססת על פרוטוקול UDP. פרוטוקול זה מאפשר זיוף של כתובת המקור. כמו-כן, פרוטוקול הUDP מאפשר "אפקט הגברה" (amplification), המשגרת אל המטרה עצמה גבוהה פי כמה מעוצמת ההתקפה המקורית. התקפה שבמקור החלה כ-1 מגה ביט, יכולה להפוך ל100 מגה ביט עקב אפקט ההגברה.
  3. טכנולוגיות ההגנה מפני התקפות DNS אינם יעילים דיים, במיוחד בהשוואה לטכנולוגיות הגנה נגת התקפות web.

בעבר, ארגונים רבים היו בעלי שרתי DNS משלהם. במהלך השנים האחרונות, רבים החלו לרכוש שירותים מספקי DNS חיצוניים כדוגמת Dyn. התקפות הDDoS היוו סיבה עיקרית למגמה זו- הארגונים לא הצליחו להתמודד עם ההתקפות ולכן העדיפו ל"ייצא" את האתגר לספק חיצוני.

כתוצאה ממגמה זו, המתרחשת במהלך השנים האחרונות, ספקי DNS מתמודדים עם התקפות מסובכות בעלות סדר גודל משמעותי. במקרים מסוימים הם קולטים לקוח חדש החווה התקפה בזמן אמת. עם זאת, חלק מן הספקים דוחים חלק מן הלקוחות הפונים אליהם תחת התקפה.

אין ספק כי לספקי הDNS יכולת התמודדות טובה יותר עם התקפות מאשר לקוחות הקצה. עם זאת, הדבר מלווה בסיכון כיוון שבמידה ואינם מסוגלים לעשות זאת כל הלקוחות המסתמכים עליהם נופלים יחדיו.

צילומי מסך של אתרים שנפגעו כתוצאה מהתקפת Dyn DDoS

Amazon

Twitter

PayPal

GitHub

Sign up for our mailing list

 be the first to see DDoS threat alerts, tips, and recommendations.

[mc4wp_checkbox]


You are giving Red Button permission to contact you via email (you can unsubscribe at any time). Read our privacy statement for more information.