Pred 429 dnevi
· Čas branja: 2
· Poslušaj vsebino
Ne Mirai, temveč Mēris!
Po krajšem zatišju na sceni DDoS se človek že boji slabih novic. Te prihajajo z vzhodne in zahodne poloble.
Junija letos je bila napadena finančna inštitucija v ZDA z zmogljivostjo 17,2 milijona zahtevkov na sekundo (RPS), 5. septembra infrastruktura podjetja Yandex v Rusiji z zmogljivostjo 21,8 milijona RPS. Cilj naj bi bila neka ruska banka.
Oba napada spadata med rekordne dosežke DDoS-industrije. Napadena je bila tudi spletna stran znanega raziskovalca kibernetskih nevarnosti Briana Krebsa, https://krebsonsecurity.com/.
Zakaj so ti napadi posebni? Pri DDoS-napadih večinoma uporabljamo merilo bitov na sekundo (bps) ali število paketov na sekundo (pps), ki velja pretežno za volumetrične napade. V tokratnih napadih je bilo uporabljeno merilo RPS (requests per second), ker gre za na videz legitimen promet vzpostavljanja HTTP-povezav, kar napad uvršča med aplikativne DDoS-napade.
Sprva so pojavnost napadov povezovali z botnetom Mirai, vendar se je izkazalo, da gre za ločeno botnet družino, ki so jo poimenovali Mēris. Raziskovalci podjetja Qrator Labs so skupaj z Yandexom ugotovili, da to družino sestavljajo kompromitirane naprave proizvajalca MikroTik po vsem svetu. Takšnih naprav naj bi bilo več kot 200.000 in njihovo število se še povečuje. Največ jih je v ZDA (42 %) in na Kitajskem (19 %).
Napadi izkoriščajo mehanizem HTTP pipelining, ki pri regularni uporabi pospeši odzivnost spletnih strani, žal pa jih pri zlorabi v DDoS-napadih še dodatno ojača.
Napad na Yandex je trajal le nekaj minut in zastavlja se vprašanje, komu je bil namenjen. Verjetno so napadalci testirali zmogljivost v produkcijskem okolju oziroma »kazali mišice«. Kaj se bo iz tega izcimilo, bo pokazal čas.
V Telekomu Slovenije imamo zmogljiv sistem zaščite DDoS v lastnem omrežju in pri zaščiti sodelujemo tudi s ponudniki višjega nivoja. Kljub temu je napad DDoS v takšnih dimenzijah vsakič znova svojevrsten izziv.
Viri:
- https://blog.qrator.net/en/meris-botnet-climbing-to-the-record_142/
- Podjetje Qrator Labs nudi možnost preverjanja, ali je vaš usmerjevalnik, če uporabljate znamko MikroTik, član botneta Mēris: https://radar.qrator.net/