Отгремевшая на этой неделе и потрясшая все интернет-сообщество DDoS-атака не только установила новый рекорд по мощности (400 Гб/с), но и обнаружила другие цифры, которые не могут не вызывать тревогу. Как оказалось, в ней были задействованы 4529 посреднических NTP-серверов, размещенных в 1298 разных AS-сетях, при этом каждый из них направлял на мишень в среднем 87 Мб/с мусорного трафика. Однако самым поразительным и пугающим открытием, пожалуй, является цифра 1.

«Примечательно, что атака была проведена по всем признакам с одного-единственного сервера, который находился в сети, допускающей подмену IP-адреса при отправке запросов», — заявил Мэтью Принс (Matthew Prince), исполнительный директор CloudFlare. Принс освещал ход DDoS в Twitter и в понедельник сообщил, что мишенью атакующих является один из европейских клиентов его компании — оператора большой CDN-сети.

Простота проведения DDoS-атак с NTP-усилением — плохое известие для потенциальных жертв. Оно вызывает справедливые опасения и создает ощущение потери контроля над ситуацией. Аналогичную неуверенность должны были испытывать американские банки, когда их ресурсы ложились один за другим в ходе DDoS-кампании, получившей известность как «Операция Абабиль».

Руководитель CloudFlare поведал Threatpost, что направленная против участника CDN атака продолжалась два часа, ее последствия были ликвидированы к вечеру того же дня. Большие перегрузки в ходе DDoS испытали французы: крупнейший хостинг-провайдер страны OVH, например, на пике мусорного потока зафиксировал мощность порядка 325 Гб/с; накануне, в выходные, на некоторых французских сайтах-мишенях наблюдался рост трафика до 80 Гб. Ресурсы OVH, по данным CloudFlare, служили также одним из основных источников мусорного NTP-трафика. В целом операторы CDN-сети зафиксировали более 4,5 тыс. «плечевых» серверов, задействованных в данной атаке, — почти в 7 раз меньше, чем во время аналогичного инцидента со Spamhaus (тогда злоумышленники использовали для усиления DNS-резолверы). При этом пиковая мощность новой DDoS оказалась на 33% выше.

«Чтобы остановить столь мощную атаку, нужно на определенном уровне превосходить атакующих по объему ресурсов, — отметил Принс. — Число NTP-атак явно растет. Поскольку каждый плохо сконфигурированный сервер может создать десятикратное усиление в сравнении с типовым DNS‑резолвером, NTP-серверы представляют серьезную угрозу».

К сожалению, злоупотребление NTP-сервисом для усиления DDoS‑трафика — лишь один из возможных вариантов для злоумышленников. В Сети есть и другие стандартные, столь же уязвимые протоколы, например SNMP, обеспечивающий связь с IP-устройствами (роутерами). «Слабость NTP — еще не самая большая беда, — предупреждает Принс. — Теоретически SNMP может обеспечить коэффициент усиления 650, и, по нашим наблюдениям, дидосеры уже начали его опробовать».

Категории: DoS-атаки, Главное