شناسایی هدف اصلی در حملات انسداد سرویس علیه کارگزارهای ریشه سال ۲۰۱۵

کارگزارهای نام دامنه به صورت سلسه‌مراتبی ایجاد می‌شوند و در گره‌ی ریشه، ۱۳ کارگزار نام دامنه وجود دارد که به کارگزارهای نام دامنه‌ی ریشه در اینترنت معروف هستند. این کارگزارها به صورت Anycast آدرس‌دهی می‌شوند، یعنی هر کدام بیش از یک کارگزار با آدرس مشابه دارند که در هنگام دریافت درخواست‌های زیاد، ارائه‌ی پاسخ با مشکل مواجه نشود.
در آخرین ماه سال ۲۰۱۵ میلادی، حملات انکار سرویس توزیع‌شده یا DDoS عجیبی علیه این کارگزارها راه‌اندازی شده بود. این حملات گسترده به کمک DDoS تقویت‌شده موفق شد ترافیک بسیار زیادی را به سمت این کارگزارها ارسال نماید، در بدترین حالت در یک ثانیه ۵ میلیون درخواستِ تفسیر نام دامنه به این کارگزارها ارسال شده است.
کارگزارهای نام دامنه‌ ریشه به نحوی به عنوان زیرساخت‌های اصلی شبکه‌ی اینترنت شناخته می‌شوند و حمله به این کارگزارها مشکلات زیادی را ایجاد می‌کند، مثلاً‌ در حملات سال ۲۰۱۵، حمله علیه فقط ۳ کارگزار ریشه صورت گرفت، اما افرادی که در فاصله‌ی کم‌تری نسبت به این کارگزارها قرار داشتند، حمله را حس کردند و متوجه شدند که درخواست‌های ترجمه‌ی آدرس اینترنتی به آدرس آی‌پی کندتر صورت می‌گیرد.
ولی حالا دو پژوهش‌گر از شرکت VeriSign که خودش دو کارگزار ریشه دارد و اتفاقاً این دو کارگزار جزیی از کارگزارهایی بوده‌اند که حملات انسداد سرویس علیه آن‌ها شکل گرفته است، گزارش داده‌اند که مهاجمان در تلاش برای حمله به دو آدرس آی‌پی در چین بوده‌اند و هدف اصلی آن‌ها حمله به کارگزارهای ریشه نبوده است.
دو پژوهش‌گر امنیتی به نام‌های Matt Weinberg و Duane Wessels در گردهمایی DNS-OARC که در بوینس آیرس برگزار خواهد شد و پژوهش‌گران همه‌ی یافته‌های خود را در مورد پروتکل کارگزار نام دامنه یا DNS به اشتراک می‌گذارند، در مورد حمله‌ی DDoS سال گذشته صحبت کنند.
این دو پژوهش‌گر با معرفی دو دامنه‌ی ۹۱۶yy[.]com و ۳۳۶۹۰۱.com به عنوان اهداف اصلی مجرمان سایبری، توضیح می‌دهند که کارگزارهای نام دامنه‌ با شناسه‌‌های A و J متعلق به این شرکت چگونه با ۵ میلیون درخواست در ثانیه به ازای هر دامنه مواجه شده‌اند.
این ترافیک توسط بات‌نت ارسال شده است که دست‌کم ۴۰۰۰ آدرس آی‌پی فعال داشته که البته ۲۰۰ سامانه از این تعداد در حدود ٪۶۸ ترافیک را ارسال کرده‌اند.
هدف مهاجمان سایبری تغییر آدرس درخواست‌کننده بوده و به این ترتیب پاسخ‌ها باید به سمت دو کارگزار در چین ارسال می‌شده‌اند که در عمل قابل شناسایی و مسدودسازی بوده است و ترافیک هیچ‌گاه به سمت کارگزارهای چین نرفته است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap