Эксперты Prolexic Technologies опубликовали аналитический обзор, посвященный DDoS-атакам с плечом, использующим сетевые протоколы SNMP, NTP и CHARGEN.

Prolexic отмечает, что техника усиления DDoS-трафика с помощью отражения запросов (Distributed Reflection and Amplification Denial of Service, DrDoS) с успехом применяется киберкриминалом уже более десяти лет, но за последний год частота ее использования и эффективность заметно выросли. Такие атаки обычно проводятся с подменой IP-адреса отправителя запроса и предполагают наличие посредников — веб-серверов или сетевого подключенного оборудования: принтеров, видеокамер, маршрутизаторов, хабов, сенсоров и т.п. Чтобы заставить этих посредников работать на себя, злоумышленники используют уязвимости в стандартных сетевых протоколах, превращая поддерживающие их устройства в послушное орудие DDoS-атаки.

В DrDoS-атаке обычно используется много подневольных «плечевых» хостов, перенаправляющих (отражающих) запросы от атакующего на мишень. Одним из преимуществ такой атаки является анонимность: ее жертва принимает за источник угрозы промежуточное звено посредников, а инициатор атаки остается в тени, поэтому его обычно сложно вычислить. Вторая особенность DrDoS, ценная для атакующего, — возможность увеличения паразитного трафика. Большое количество посреднических хостов способно в ответ на небольшой, тщательно продуманный запрос создать внушительный поток ответов, направленных на мишень.

«Атаки по методу отражения, использующие сетевые протоколы, являются серьезной проблемой, однако системные администраторы способны защитить свои организации и интернет-сообщество от этой разновидности DrDoS-атак, если они примут превентивные меры, — заявил Стюарт Шолли (Stuart Scholly), президент Prolexic. — К сожалению, сетевые протоколы создавались с упором на функциональность, а не на безопасность. Интернет в те времена был более безобидным, чем сейчас».

В новом обзоре Prolexic рассматриваются три широко используемых протокола для сетевых устройств:

  • SNMP (Simple Network Management Protocol), используемый для связи с IP-устройствами, такими как роутер;
  • NTP (Network Time Protocol), используемый для синхронизации информации о времени и дате в Сети;
  • CHARGEN (Character Generation Protocol), применяемый для тестирования и отладки сетевых соединений.

Эксперты расшифровывают присущие этим протоколам уязвимости и поясняют, каким образом злоумышленники их используют для проведения DDoS-атак. В обзоре также приведены рекомендации для системных администраторов по снижению рисков. Полный текст этого документа доступен на сайте Prolexic (требуется регистрация).

Категории: DoS-атаки, Аналитика