Команда Arbor, работающая в составе NETSCOUT, проанализировала данные по DDoS-атакам, использующим открытые memcached-сервисы, за последние три месяца. Как оказалось, с февраля частота таких инцидентов у клиентов компании резко снизилась, но до сих пор сохраняется примерно на одном и том же уровне.

Первые DDoS-атаки с отражением и усилением трафика (DrDoS), использующие в качестве посредников memcached-серверы, были зафиксированы в Интернете в феврале. Эти случаи показали, что подобная техника позволяет увеличить целенаправленный поток мусорных пакетов в 50 тыс. раз. Мощнейшая из февральских атак на пике показала 1,7 Тбит/с.

Встревоженные эксперты спешно обратились ко всем владельцам уязвимых memcached-серверов с призывом внести исправления в конфигурации. Эту кампанию активно поддержали в СМИ, и в итоге количество сервисов, пригодных для проведения DrDoS-атак, резко сократилось. В новой блог-записи Arbor приводит данные по уязвимым установкам memcached из открытых источников. В конце февраля в Интернете присутствовало 50 тыс. таких потенциальных рефлекторов DDoS-трафика, затем их число резко сократилось до 20 тыс.; в настоящее время оно составляет лишь 3,5 тыс.

В то же время статистика самой Arbor показала возрастание частоты memcached-атак с середины апреля и уровни, сравнимые с февральскими, в мае. Как выяснилось, возобновление роста показателей связано с притоком новых данных по азиатскому, африканскому и европейскому регионам. В результате эксперты признали, что с учетом этого фактора можно смело утверждать: после спада вредоносный поток стабилизировался. Его объемы невелики, но подобные DrDoS все еще составляют угрозу.

В связи с эти возникает вопрос: так откуда берутся memcached-рефлекторы, если их армия благодаря всеобщей осведомленности стремительно тает? Оказалось, что злоумышленникам пришелся по вкусу новый вектор DDoS, и многие специализированные сервисы взяли его на вооружение, подняв собственные memcached-серверы на легитимных хостингах.

Коммерциализации DDoS с memcached-плечом в большой мере способствовала публикация PoC-кодов — они появились в открытом доступе в начале марта. К концу апреля memcached-атаки были включены в ассортимент многочисленных сайтов, предлагающих DDoS-услуги. По данным Arbor, эти теневые сервисы в равной мере используют чужие уязвимые memcached-серверы и свои, однако последние приходится часто переносить на новые площади: при обнаружении злоупотреблений хостинг-провайдер, как правило, их решительно пресекает.

Категории: DoS-атаки, Аналитика, Главное