Одна из ведущих компаний по защите от DDoS-атак Cloudflare уже несколько дней сражается с DDoS’ом рекордной силы. В понедельник поток UDP-флуда достиг 400 Гбит/с. Это абсолютный рекорд в истории DDoS-атак и примерно на 33% больше, чем атака прошлого года на Spamhaus в 300 Гбит/с, которая даже вызвала появление заторов в отдельных сегментах интернета. Впрочем, российские специалисты тогда говорили, что для них подобные атаки не в новинку, мол, в Рунете временами происходит еще более брутальный террор.

Как и в 2013 году, сейчас для DDoS используются новейшие методы. В прошлом году модными были атаки с умножением запросов через открытые DNS-резолверы. К этим неправильно сконфигурируемым серверам отправляются маленькие запросы с обратным IP-адресом жертвы. Серверы отвечают на указанный адрес UDP-пакетами в десятки раз большего размера, чем запрос. Например, на запрос ANY в 64 байта следует ответ в 3,2 килобайта.

В такой атаке важно иметь как можно больше подконтрольных серверов (генераторов первой ступени), с которых отправляются запросы на DNS-резолверы. Российский специалист Александр Лямин из компании Highload Lab в интервью журналу «Хакер» в прошлом году сказал, что вместо DNS-резолверов генераторами второй ступени «могут выступать и другие UDP-сервисы, например, NTP». Его слова оказались пророческими.

В эти дни Cloudflare отражает рекордную атаку, пытаясь фильтровать трафик от тысяч NTP-серверов. Судя по статистике Symantec, всплеск DDoS-атак через Network Time Protocol произошел в декабре 2013 года. Атака через серверы NTP идет так же, как через DNS-резолверы, но с использованием команды monlist. Она высылает в ответ список 600 хостов, которые последними подключались к серверу. Таким образом, на запрос в 234 байта сервер высылает жертве UDP-пакеты общим объемом до 48 килобайт. Умножение трафика в 204 раза!

Для закрытия уязвимости с monlist владельцам NTP-серверов следует обновиться до версии 4.2.7.



Оставить мнение