По данным Prolexic, крупнейшего специалиста по защите от DDoS, за последний месяц количество мощных атак с использованием NTP-посредников увеличилось на 371,43%. Ввиду актуальности угрозы компания выпустила информационный бюллетень, в котором также отмечен резкий рост среднестатистического уровня мощности DDoS: пиковый Гб/с-показатель с января увеличился на 217,97%, pps (число пакетов/с) — на 807,48%.

«В феврале число атак с NTP-усилением по нашей клиентской базе возросло на 371%, — констатирует Стюарт Шолли, старший вице-президент и глава ИБ-направления Akamai Technologies, компании, недавно выкупившей Prolexic. — По сути, все самые мощные DDoS, которые мы наблюдаем в текущем году, представляют собой атаки с усилением через NTP». Атаки с использованием «плечевых» NTP-сервисов наблюдались во многих вертикалях, включая финансы, игровую индустрию, электронную коммерцию, интернет-сервис, СМИ, образование, софт-сервис (SaaS) и ИБ.

Прибегая к помощи NTP-посредников для усиления DDoS-трафика, злоумышленники, как правило, направляют им запрос на выполнение команды MON_GETLIST, подменив адрес отправителя. Каждый NTP-сервер при этом может возвратить до 600 источников недавних подключений (IP-адресов), направив ответные пакеты на указанный атакующим адрес. Prolexic воспроизвела DDoS с NTP-плечом в лабораторных условиях и обнаружила, что данная техника позволяет повысить Гб/с-показатель мощности в 300 раз, pps — в 50 раз. Эксперты при этом отметили, что их тест проводился в условиях «идеального шторма», тогда как реальные атаки обычно не столь эффективны.

Рост популярности данной техники DDoS пока не способны остановить даже совместные и небезуспешные усилия security-сообщества по повышению общей осведомленности о текущей угрозе и по сокращению числа поддерживающих monlist сервисов. Так, благодаря широкой гласности количество уязвимых NTP-серверов, задействованных в недавней мощнейшей DDoS-атаке, за 10 дней уменьшилось, согласно CloudFlare, более чем на 75%. Не последнюю роль здесь сыграли оперативные меры, принятые французским провайдером OVH, NTP-сервис которого активно использовался атакующими. Заметное сокращение открытой абьюзам NTP-армии зафиксировали и активисты OpenNTPProject: по их данным, к концу февраля глобальный парк таких устройств уменьшился с 490 тыс. до 390 тыс.

Тем не менее злоумышленники, похоже, не собираются отказываться от эффективной методики и активно ищут выход из сложившейся ситуации. В своем информационном бюллетене Prolexic отметила появление в сетевом андеграунде большого количества готовых инструментов и сервисов, обеспечивающих проведение DDoS с NTP-плечом. И эти сокрушительные атаки сохранят свою актуальность, пока в Интернете существуют уязвимые NTP-сервисы.

Категории: DoS-атаки, Главное