Темпы истребления Heartbleed-бага в OpenSSL, похоже, замедлились, чего нельзя сказать о латании NTP-серверов, пригодных для проведения сокрушительных DDoS-атак по методу отражения запросов.

В начале текущего года Интернет накрыла волна мощных DDoS, инициаторы которых использовали уязвимость в NTP-протоколе для усиления мусорного трафика и перевода его на мишень. Эти атаки оказались просты в исполнении, но эффективно выводили критические сервисы из строя. Новая угроза встревожила многих, в частности американскую CERT, которая посчитала нужным предупредить о ней корпоративных пользователей.

В то время, согласно статистике NSFocus, в Сети находилось более 430 тыс. уязвимых NTP-серверов, которые могли быть задействованы в аналогичных атаках. К марту их число сократилось почти до 21 тыс., а в начале мая едва превышало 17 тыс. «Это колоссальный прогресс, — комментирует Теренс Чон (Terence Chong), архитектор защитных решений NSFocus. — Когда обнаружилась уязвимость и вышли соответствующие предупреждения, организации, контролирующие эти открытые серверы, начали активно исправлять ситуацию, устанавливая патчи и новейшие версии».

На настоящий момент, по словам Чона, эту задачу удалось выполнить на 95%, однако оставшиеся 17 тыс. серверов все еще ненадежны. «17 тыс. серверов — это все-таки много, и пропатчат их, возможно, не скоро, — сетует эксперт. — Если сервер до сих пор не защищен, значит, что-то не в порядке с техдокументацией или контролем, а такие ошибки могут долго оставаться сокрытыми».

Сбор данных NSFocus осуществляла путем сканирования, выискивая NTP-серверы в Сети. Чон отметил, что его компания все еще наблюдает DDoS с участием непропатченных серверов, из которых более 2 тыс., по его оценкам, способны усилить мусорный трафик в 700 раз.

«Любая атака по методу усиления — это дешевый способ проведения DDoS, — добавляет Чон. —  Злоумышленник может написать скрипт, который обеспечит трафик с коэффициентом усиления от 10 до 500 и легко выведет сайт из строя. При традиционном подходе трафик генерирует ботнет, находящийся под контролем атакующих, и такой способ требует от них значительных усилий».

Согласно статистике Arbor Networks, в первом квартале текущего года 85% DDoS-атак мощностью более 100 Гб/с были проведены по методу NTP-усиления, как и самая мощная из них, показавшая на пике 400 Гб.

В заключение Чон подчеркнул важность доведения начатого дела до конца. Непропатченные NTP-серверы, которые к тому же допускают подмену IP-адреса источника запросов и не отвечают стандарту ВСР-38 IETF, предусматривающему фильтрацию пакетов с поддельными заголовками, открыты для злоупотреблений и легко могут стать невольными пособниками дидосеров.

Категории: DoS-атаки, Главное