DNS-провайдер Nominium опубликовал новые данные по DDoS-атакам типа DNS amplification (атаки с усилением через DNS-серверы), которые используют маршрутизаторы, предназначенные для дома и малого офиса, в качестве отправной точки. Компания сообщила, что только за февраль больше 5 млн роутеров было использовано для создания атакующего трафика. Это более чем одна пятая от всех 24 млн работающих роутеров, на которых открыто проксирование DNS.

Nominium заявила, что такие атаки особенно сильно вредят интернет-провайдерам потому, что атаки с усилением не просто поглощают пропускную способность, но также увеличивают расходы на поддержку и подрывают доверие клиентов к провайдерам.

«Существующие системы защиты от DDoS не работают против современных атак с усилением, которые могут быть запущены любым преступником, который хочет нанести максимальный ущерб с минимальными усилиями, — сказал Санжай Капур, директор по маркетингу и старший вице-президент Nominium. — Даже если провайдеры применят лучшие средства для защиты своих сетей, они все еще могут остаться жертвами благодаря встроенной уязвимости в открытых DNS-прокси».

Крейг Янг, старший исследователь-безопасник из Tripwire, считает, что источником проблемы по большому счету являются слабые настройки по умолчанию на роутерах для дома и малого офиса.

«В них не должно быть открытых в сеть DNS-резолверов, — сказал Янг. — Роутеры так устроены, чтобы кто угодно изнутри сети мог отправить роутеру DNS-запрос, который будет передан DNS-серверу провайдера, который отправит ответ назад в сеть. Так это и должно быть. Но не должно быть так, чтобы кто-либо мог послать запрос на внешний интерфейс и роутер пересылал его провайдеру».

Злоумышленники могут использовать такие открытые резолверы, подменяя адрес отправителя и увеличивая объем отправляемых назад ответов. С помощью ботнета, к примеру, можно быстро вызвать состояние отказа в обслуживании у больших организаций, что очень ценно для преступников-вымогателей либо хактивистов.

«DDoS всегда полагается на подмену адреса отправителя, так что можно атаковать кого угодно, а трафик невозможно будет отследить до источника. Но, так же как и с любым другим эксплойтом, злоумышленники постоянно оттачивают свою тактику, — сообщила Nominium в своем отчете. — Появилась новая и опасная инновация в DNS DDoS, когда злоумышленники эксплуатируют бэкдор в сетях провайдера: десятки миллионов открытых DNS-прокси разбросаны по Интернету. Несколько тысяч смогут создать гигабиты нежелательного трафика».

За последние полтора года объем «плохого» трафика, использованного в DDoS-атаках, взмыл до беспрецедентного уровня. Год назад 300-гигабитная DDoS-атака против Spamhaus вызвала отключение этого сервиса черных списков на некоторое время. В этом году данный порог был превзойден, когда компания — оптимизатор трафика CloudFlare доложила о своем сражении против 400-гигабитной DDoS-атаки, нацеленной на одного из их европейских клиентов.

Злоумышленники воспользовались уязвимостью в протоколе сетевого времени NTP для усиления объема своей атаки, в то время как в атаке на Spamhaus злоумышленники использовали открытые DNS-резолверы.

Nominium сообщила, что провайдеры могут решить проблему подмены адреса, особенно при использовании домашних роутеров.

«Решение проблемы открытых резолверов прямолинейно: правильно настройте работающие резолверы (ограничьте доступ IP-диапазонами, контролируемыми оператором сервера), поищите давно забытые серверы и выключите их, — сказали в Nominium. — Это не значит, что проблема тривиальна, — этот способ решения известен давно, но проблема остается».

Янг из Tripwire сообщил, что провайдеры также могут фильтровать трафик по репутационным спискам, с помощью которых можно распространять информацию между провайдерами для того, чтобы распознавать DNS-запросы для доменов, являющихся частью атаки. Эти пакеты можно отбрасывать.

«Это несложно — обзавестись системой анти-DDoS и начать распознавать аномальные последовательности, применять ограничение частоты запросов и отбрасывать трафик», — заявил Янг.

Категории: DoS-атаки