Новые детали DDoS-атаки с NTP-усилением


DDoS - atackПроведенное расследование компанией Cloudflare по факту крупнейшей DDoS-атаки с NTP-усилением, произошедшей намедни, показала, что атака использует метод усиления UDP-трафика через серверы сетевого времени NTP.

Стало известно, что в атаке принимали участие 4529 серверов NTP из 1298 разных сетей. При этом каждый из этих серверов в пиковый час, в среднем, генерировал 87 Мбит/с трафика на конкретную жертву. В компании допускают, что злоумышленник контролирует так много ботов, что в каждой сети со своим NTP-сервером он мог отправлять к серверу внутрисетевые запросы.

Использование NTP-серверов с поддержкой MONLIST, как считают специалисты, было вызвано тем, что они обычно подключены к интернету по более широким каналам связи, к тому же допускают умножение запросов с более высоким множителем, чем DNS-резолверы. Например, во время атаки на Spamhaus, трафик 300 Гбит/с был сгенерирован с помощью 30 956 открытых DNS-резолверов.

Зафиксированный DDoS-трафик поразил абсолютно все дата-центры Cloudflare, а атака оказалась настолько мощной, что возникли заторы в некоторых фрагментах сетевой инфраструктуры Европы.

24 сети с максимальным числом уязвимых NTP-серверов, указан ASN и количество серверов

24 seti s max chislom uyazvimih NTP-serverov

Специалисты утверждают, что обнаружить уязвимые серверы в своей сети можно с помощью сканера Open NTP. А еще, что SNMP позволяет умножать трафик в 650 раз и уже начались экспериментальные работы в этом направлении.


Обновлено (14.02.2014 05:58)