Компания Cloudflare разгласила технические детали крупнейшей DDoS-атаки с NTP-усилением, о которой сообщалось вчера.

Специалисты говорят, что они и раньше видели DDoS-атаки на 400 Гбит/с, но впервые такая атака использует метод усиления UDP-трафика именно через серверы сетевого времени NTP. Это новая угроза для сети, считает Cloudflare.

В атаке 10 февраля 2014 года приняли участие 4529 серверов NTP из 1298 разных сетей. В среднем, каждый из этих серверов в пиковый час генерировал 87 Мбит/с трафика на конкретную жертву. Cloudflare допускает, что злоумышленник контролирует так много ботов, что в каждой сети со своим NTP-сервером он мог отправлять к серверу внутрисетевые запросы.

Хотя NTP-серверы с поддержкой MONLIST не так популярны, как DNS-резолверы, зато обычно подключены к интернету по более широким каналам связи, к тому же допускают умножение запросов с более высоким множителем, чем DNS-резолверы. Для сравнения, во время атаки на Spamhaus трафик 300 Гбит/с был сгенерирован с помощью 30 956 открытых DNS-резолверов.

На карте показано местонахождение NTP-серверов, которые приняли участие в DDoS-атаке 10 февраля.

DDoS-трафик поразил абсолютно все дата-центры Cloudflare. Атака оказалась настолько мощной, что возникли заторы в некоторых фрагментах сетевой инфраструктуры Европы.

В следующем списке перечислены 24 сети с максимальным числом уязвимых NTP-серверов, указан ASN и количество серверов.

 9808 CMNET-GD Guangdong Mobile Communication Co.Ltd. — 136  4134 CHINANET-BACKBONE — 116 16276 OVH OVH Systems — 114  4837 CHINA169-BACKBONE CNCGROUP — 81  3320 DTAG Deutsche Telekom AG — 69 39116 TELEHOUSE Telehouse Inter. Corp. of Europe Ltd — 61 10796 SCRR-10796 - Time Warner Cable Internet LLC — 53  6830 LGI-UPC Liberty Global Operations B.V. — 48  6663 TTI-NET Euroweb Romania SA — 46  9198 KAZTELECOM-AS JSC Kazakhtelecom — 45  2497 IIJ Internet Initiative Japan Inc. — 39  3269 ASN-IBSNAZ Telecom Italia S.p.a. — 39  9371 SAKURA-C SAKURA Internet Inc. — 39 12322 PROXAD Free SAS — 37 20057 AT&T Wireless Service — 37 30811 EPiServer AB — 36 137 ASGARR GARR Italian academic and research network — 34 209 ASN-QWEST-US NOVARTIS-DMZ-US — 33  6315 XMISSION - XMission, L.C. — 33 52967 NT Brasil Tecnologia Ltda. ME — 32  4713 OCN NTT Communications Corporation — 31 56041 CMNET-ZHEJIANG-AP China Mobile — 31  1659 ERX-TANET-ASN1 Tiawan Academic Network Information Center — 30  4538 ERX-CERNET-BKB China Education and Research Network Center — 30

На этот раз Cloudflare не публикует полный список с указанием их IP-адресов, чтобы информацией не воспользовались другие злоумышленники. Но вот полный список сетей, в которых есть такие NTP-серверы.

Найти уязвимые серверы в своей сети можно с помощью сканера Open NTP.

Эксперты Cloudflare предполагают, что это еще не вечер. SNMP позволяет умножать трафик вовсе в 650 раз! Говорят, что кое-кто уже начал экспериментировать в этом направлении.

Оставить мнение