Tampaknya 2016 telah menjadi tahun serangan DDoS besar, banyak yang berasal dari Mirai. Hal ini tampaknya menjadi pendatang baru meskipun berakhir tahun dengan serangan 650Gbps DDoS.Serangan Dyn DNS DDoS bahwa beberapa berspekulasi mencapai lebih 1Tbps mungkin yang terbesar, tapi ini tidak jauh di belakang dan itu lebih besar dari yang terbesar sebelumnya tercatat sebesar 620Gbps.Sebagai akhir dari pendekatan tahun, itu wajar untuk merenungkan masa depan dan mencari tanda-tanda yang akan datang. Kadang-kadang, bagaimanapun, Anda tidak perlu mencari terlalu keras. Kadang-kadang, ini "tanda-tanda" memukul Anda seperti satu ton batu bata.
Ini adalah bagaimana itu bagi kita ketika, hanya sepuluh hari sebelum akhir tahun ini, kita menemukan diri kita mengurangi 650 Gbps (Gigabit per detik) DDoS serangan-terbesar pada catatan untuk jaringan kami.
Ini adalah akhir yang cocok untuk satu tahun besar serangan DDoS, jahat jenis malware baru dan botnet IOT besar. Terlebih lagi, itu menunjukkan persis di mana hal-hal yang menuju berikutnya pada DDoS depan.
Serangan dimulai sekitar 10:55 pada 21 Desember, menargetkan beberapa IP anycasted di jaringan Imperva Incapsula.
Sulit untuk mengatakan mengapa serangan ini tidak fokus pada pelanggan tertentu. Kemungkinan besar, itu adalah hasil dari pelaku tidak mampu menyelesaikan alamat IP korban yang sebenarnya, yang ditutupi oleh proxy Incapsula. Dan, yang tidak memiliki pilihan yang lebih baik, pelaku mengalihkan perhatian ke layanan yang berdiri antara dirinya dan sasarannya.
Serangan tampaknya telah dimulai sebagai serangan terhadap pelanggan Incapsula dan ketika gagal dengan itu, mereka pindah ke menyerang layanan melindungi mereka secara langsung.
Mereka meringankan serangan yang sangat baik dengan dampak minimal dan tampaknya tidak ada downtime atau pelanggan dampak.
DDoS pertama meledak berlangsung sekitar 20 menit, memuncak pada 400 Gbps. Gagal untuk membuat penyok, pelaku bergabung kembali dan kembali untuk putaran kedua. Ini waktu yang cukup botnet "otot" untuk menghasilkan banjir 650 Gbps DDoS lebih dari 150 juta paket per detik (Mpps).
Ledakan kedua ini berlangsung sekitar 17 menit dan dengan mudah dimentahkan oleh layanan kami. Keluar dari pilihan, pelaku wised dan berhenti serangannya.
Kedua semburan serangan berasal dari IP palsu, sehingga mustahil untuk melacak botnet yang sebenarnya geo-lokasi atau belajar sesuatu tentang sifat perangkat menyerang.
Lalu lintas serangan dihasilkan oleh dua muatan SYN yang berbeda:
- paket SYN berukuran biasa, mulai 44-60 byte dalam ukuran
- paket SYN normal besar, mulai 799-936 byte dalam ukuran
Yang pertama digunakan untuk mencapai tingkat paket Mpps tinggi, sedangkan yang kedua itu digunakan untuk meningkatkan kapasitas serangan untuk 650 Gbps.
Sementara serangan yang cukup besar, itu pasti bukan yang paling gigih dengan penyerang menyerah cukup mudah dan hanya menggunakan metode yang terbatas beberapa.
Entah itu, atau mereka hanya menyelidiki jaringan Incapsula untuk melihat apa yang bisa menangani dan tidak ingin mengekspos tangan penuh mereka.
Sumber -> Darknet
