Средний пиковый трафик DDoS-атак, по кварталам
Средний пиковый трафик DDoS-атак, по кварталам

В начале этого лета хактивисты провели масштабную DDoS-атаку на 300 Гбит/с, используя уязвимость на уровне материнских плат в 100 000 непропатченных серверов. О факте такой мощной атаки ранее не сообщалось, его раскрыли специалисты компании Verisign в квартальном отчёте Q2 2014 DDoS Trends Report.

По информации Verisign, с атакой столкнулся «дата-центр неназываемой компании, которую принято считать CDN-сетью». Всё началось с трёхчасового SYN- и TCP-флуда, что традиционно используется для ослабления жертвы перед основной фазой DDoS.

На втором этапе злоумышленники пустили в ход большие UDP-пакеты, и довольно быстро вредоносный трафик вырос до 250 Гбит/с. В последующие сутки трафик UDP и TCP падал почти до нуля и возрастал до пиковых значений более 30 раз. Такими короткими «выстрелами» испытывалась на прочность защита противника.

В последней попытке злоумышленники увеличили мощность атаки до 300 Гбит/с, что делает её одной из крупнейших зарегистрированных DDoS-атак. Тем не менее, после 30 часов противостояния инфраструктура Verisign всё-таки выдержала и атакующие сдались.

Самое интересное, что для атаки использовалась инфраструктура из почти 100 000 серверов с уязвимостью в интерфейсе материнских плат Supermicro IPMI, которую независимый исследователь Захари Уикхолм (Zachary Wikholm) описал 19 июня 2014 года. Речь идёт о доступе к незашифрованному серверному паролю по порту 49152.

Судя по всему, всё было достаточно просто: некто написал софт для автоматизации сбора паролей к уязвимым серверам, а затем использовал этот «ботнет» для прямой атаки, без всякого умножения трафика. Такие простые техники редко встречаются в наши дни.

Патч для уязвимости вышел довольно давно, но многие системные администраторы до сих пор не установили его.



7 комментариев

  1. 20.08.2014 at 01:20

    >Патч для уязвимости вышел довольно давно, но многие системные администраторы до сих пор не установили его.

    а зря, зря…

  2. 20.08.2014 at 11:00

    >> Речь идёт о доступе к незашифрованному серверному паролю
    Незашифрованый серверный пароль? Ватафак?!

  3. 20.08.2014 at 11:37

  4. 20.08.2014 at 15:13

    > уязвимость на уровне материнских плат в 100 00 непропатченных серверов
    В короткой новости писали про 100000, а теперь уже вдруг 10000 стало.

Оставить мнение