Подробности DDoS-атаки интенсивностью трафика в 400 Гбит с NTP-усилением

main_attack

Фирма Cloudflare рассказала о технических подробностях недавней DDoS атаки с NTP усилением.

Некоторые исследователи рассказывают, что раньше также фиксировались атаки да 400 Гбит/с. Но сейчас впервые были применены серверы NTP для усиления этой атаки. А это, в свою очередь, является огромной угрозой, сообщает Cloudflare.

Всего в данной атаке принимали участие 4530 серверов NTP из 1300 различных сетей. Сервера направляли по 87 Мбит/с трафика на определенную систему. Специалисты предполагают, что злоумышленник мог управлять столькими ботами, что в каждых сетях с сервером NTP он отправлял внутрисетевые запросы к серверу.

Хостер из Франции OVH в этот же день зафиксировал атаку в 250 Гбит/с. Эти атаки устроены с помощью технологии увеличения трафика через NTP–серверы. Подобные трещины были ликвидированы еще в патче ntpd 4.2.7p26 четыре года назад. Сторонние организации публиковали сообщение об обновлении настроек своих NTP–серверов. Однако сейчас все еще остается очень много возможностей для выполнения массированных атак на различные компьютеры.

Сейчас серверы с MONLIST не столь распространены, как DNS-резолверы. Однако они подключены к сети по более широким каналам. При этом MONLIST допускает умножение запросов с большим множителе, чем DNS. Ранее для атаки Spamhaus трафик с 300 Гбит/с генерировался через 30 960 открытых DNS.

На этой карте можно увидеть расположение всех серверов, которые принимали участие в атаке.

Снимок12

Злокачественный трафик поражал все дата-центры Cloudflare. Мощность атаки создала проблемы даже во фрагментах сетевой европейской инфраструктуры.

Далее вы можете увидеть список всех 24 сетей с наибольшим количеством уязвимых серверов NTP.

Снимок

Полный список IP-адресов компания не публикует, чтобы этими данными не смогли воспользоваться другие злоумышленники. Однако предоставляется список сетей, где присутствуют такие NTP-серверы.

Все уязвимые сервера своей сети можно через сервис-сканер Open NTP

По прогнозам специалистов, Для повышения трафика злоумышленниками также вовлекаются SNMP–сервера. В теории, сервер SNMP способен осуществить прирост трафика в 645 раз. Более того, уже сейчас отмечаются попытки атак злоумышленниками с применением SNMP.

Читайте также: