Эксперты Prolexic (ныне в составе Akamai Technologies) предупреждают об учащении случаев усиления DDoS-трафика с помощью устройств, поддерживающих связь по SNMP-протоколу. За период с 11 апреля по 14 мая исследователи зафиксировали 14 таких инцидентов, жертвами которых стали компании разного профиля: продавцы товаров широкого потребления, поставщики ПО как услуги (SaaS), хостинг-провайдеры, разработчики компьютерных игр, некоммерческие организации.

Рост популярности и эффективности DDoS с плечом (DrDoS), использующих сетевые протоколы SNMP, NTP и CHARGEN, Prolexic отметила еще год назад. Такие атаки обычно проводятся путем отправки запроса с подставным IP-адресом отправителя и предполагают наличие посредников — веб-серверов или подключенного к Сети оборудования. Чтобы заставить этих посредников работать на себя, злоумышленники используют уязвимости в стандартных протоколах, превращая поддерживающие их устройства в послушное орудие DDoS-атаки. При этом ответы, направляемые ими в силу спуфинга на мишень, могут по размеру в десятки и сотни раз превышать запрос, подаваемый атакующим.

SNMP-протокол используется для связи с такими широко распространенными устройствами, как принтеры, коммутаторы, сетевые экраны и маршрутизаторы. Беда в том, поясняют эксперты, что многие из них — это старые модели, выпущенные как минимум три года назад в комплекте с SNMP версии 2, в которой по умолчанию включен публичный доступ. Отыскав уязвимые устройства в Сети или используя готовые списки, атакующий отправляет SNMP-запрос GetBulk, требующий возврата максимально возможного объема информации. При обращении к роутеру, например, такой информацией будет список хранимых IP-адресов, принтер выдаст тип используемого тонера.

В отраженных Prolexic SNMP-атаках размеры запросов не превышали 40 байт, объемные ответы «плечевых» устройств, направленные на мишень, были разбиты на десятки фрагментированных пакетов. Максимальный коэффициент усиления DDoS‑трафика, зафиксированный экспертами, составил 1700.

«Атаки с использованием протоколов, допускающих отражение, таких как SNMP, время от времени идут на подъем, — отмечает Стюарт Шолли, бывший президент Prolexic, а ныне первый вице-президент и глава ИБ-подразделения Akamai. — Новый всплеск вызван появлением в открытом доступе инструментария для проведения SNMP-атак». Один из таких инструментов подробно рассматривается в новом информационном бюллетене Prolexic, посвященном DDoS с SNMP-плечом (для просмотра требуется регистрация). При проверке в лабораторных условиях SNMP Refelector DDOS (не опечатка, автор назвал его именно так!) показал коэффициент усиления около 1400.

По мере выявления сетевые устройства, задействованные в SNMP-атаках, заносятся в черные списки или блокируются путем фильтрации на стороне провайдера (blackholing). В результате совокупная мощность мусорного потока может снизиться. Так, в указанный период Prolexic зафиксировала несколько резких скачков при общем разбросе от 90 до 0,69 Гб/с. Тем не менее изоляция невольных участников DDoS способна лишь на время ограничить атаку: уязвимых SNMP-устройств в Интернете пока предостаточно.

«Сетевых администраторов следует поощрять к поиску устройств, использующих SNMP версии 2, и обеспечению их безопасности, — заключает Шолли. — Активисты интернет-сообщества постарались занести в черные списки всех участников недавних DDoS-атак, однако нужно также, чтобы и сетевые администраторы приняли соответствующие меры, их перечень приведен в нашем информационном бюллетене».

Prolexic рекомендует организовать профилактику следующим образом:

  • ограничить публичный доступ к использующим SNMP v.2 устройствам;
  • запретить внешний доступ к некоторым устройствам, таким как принтеры;
  • ограничить и контролировать доступ к таким SNMP-устройствам, которые имеют большое количество подопечных;
  • по возможности использовать SNMP версии 3, которая более надежна.

Категории: DoS-атаки, Главное