По состоянию на 20 апреля Akamai зафиксировала по своей клиентской базе 10 DDoS-атак с отражением и усилением трафика, использующих в качестве посредников TFTP-серверы, доступные из Интернета.

Согласно статистике компании, в большинстве случаев атака с TFTP-плечом использовалась как составная часть многовекторной DDoS. Скорость передачи пакетов при такой атаке не очень велика, но достаточна для того, чтобы эффективно забить канал связи на целевом сайте. Мощность TFTP-DDoS, направленных против клиентов Akamai, на пике составила 1,2 Гбит/с и 176,4 Kpps (тыс. пакетов в секунду). Порт-источник исследователи указали как 69, порты-адресаты были в основном произвольными. Как удалось определить, для проведения этих атак были задействованы TFTP-устройства, размещенные в AS-сетях Южной Кореи и Китая.

По данным Akamai, специализированные скрипты для таких атак появились itw примерно в то же время, когда были опубликованы результаты университетского исследования, подтвердившего возможность использования протокола TFTP для многократного усиления DDoS-потока. Как оказалось, новые скрипты заимствуют большую часть кода аналогичных инструментов, используемых для проведения других DDoS с отражением на базе UDP. В качестве входных параметров на них подаются целевой IP (подставляемый в качестве источника запроса), номер порта-адресата, список адресов TFTP-серверов, число потоков, предельная скорость передачи пакетов и время проведения атаки. Номер порта в большинстве случаев игнорируется, и в итоге выбор оказывается случайным. Akamai также отметила, что скрипты для DDoS с TFTP-усилением уже включены в пакет услуг как минимум на одном сайте, предлагающем DDoS как услугу.

Во избежание таких злоупотреблений исследователи рекомендуют заблокировать публичный доступ к TFTP-серверам, если это еще не сделано. Если есть необходимость держать UDP-порт 69 открытым, его следует защитить экраном и оставить доступ лишь для доверенных источников. Для детектирования абьюзов во внутренней сети вполне подойдут Snort или аналогичная система обнаружения вторжений.

Для отслеживания неправильно сконфигурированных TFTP-серверов, которые могут быть использованы в подобных DDoS-атаках, активисты Shadowserver запустили отдельный сканер. Результаты публикуются и обновляются на ежедневной основе. По состоянию на 2 июня в Интернете было обнаружено более 4,2 млн открытых TFTP-устройств (IP-адресов), большинство из них прописаны в США (>557 тыс.), Южной Корее (>500 тыс.) и Китае (около 452 тыс.). Россия занимает в этом непочетном списке шестую позицию (>207 тыс.).

Категории: DoS-атаки, Аналитика, Главное