Firma twierdzi, iż około półtora tysiąca organizacji na świecie zostało zaatakowanych na początku br. przez nieznanego hakera, który wykorzystał botnety i serwery DNS do zalania zaatakowanych sieci potokiem danych nie do opanowania.

Ataki, które rozpoczęły się 3 stycznia i zakończyły w połowie lutego wykorzystywały szczególnie niszczycielski rodzaj ataku DDoS.

Zobacz również:

• Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS
• Wbudowana słabość protokołu HTTP/2 wykorzystana do masowych ataków DDoS
• 12 norweskich ministerstw ofiarą hakerów

Rozproszone ataki DoS (DDoS) wykorzystują zazwyczaj tysiące komputerów zombie, które wysyłają potoki bezużytecznych danych lub żądań danych do atakowanych serwerów czy sieci, powodując ich zatkanie, uniemożliwiające pracę legalnych użytkowników.

W tym konkretnym wypadku, napastnicy wysyłali z botnetów do serwerów DNS zlecenia, zawierające fałszywe adresy zwrotne, przyporządkowania adresów IP nazwom domen. Serwery DNS przetwarzały te zlecenia i wysyłały odpowiedzi pod sfałszowane adresy zwrotne.

Ataki takie są trudne do zablokowania, ponieważ ruch DNS jest niezbędny we wszystkich sieciach. Atak wygląda następująco: napastnik wysyła tysiące zleceń ze sfałszowanym adresem zwrotnym do serwera DNS, który dopuszcza zlecenia rekursywne (możliwość obsługi nazw domen nie będących w bazie danych danego serwera). Serwer przetwarza zlecenie, łącząc się z serwerami głównymi i serwerami poziomów domen i zwraca odpowiedź pod sfałszowany adres (tj. adres ofiary). Jeżeli liczba takich zleceń sięga tysięcy, to napastnik może potencjalnie generować gigabajtowe strumienie odpowiedzi z serwerów DNS.

Atak tego typu jest znany jako atak wzmacniany, ponieważ ta metoda wykorzystuje źle skonfigurowane serwery DNS do kierowania ataku na wybrany cel, powiększając jednocześnie objętość pakietów jakie w związku ze zleceniami DNS musza przepływać przez sieć.