neprihlásený Utorok, 1. decembra 2020, dnes má meniny Edmund
DDoS útoky začali využívať zosilnenie pomocou SNMP

Značky: InternetútokySNMP

DSL.sk, 26.5.2014


Útočníci využívajúci DDoS, distribuované denial-of-service, útoky začali v posledných týždňoch bežnejšie používať nový typ útoku využívajúci na zosilnenie protokol SNMP, Simple Network Management Protocol.

Upozornila na to bezpečnostná spoločnosť Prolexic.

Cieľom DDoS útokov, typicky používaných konkurenciou alebo za účelom vydierania, je odstaviť cieľové stránky alebo iné služby buď preťažením serverov alebo liniek pripájajúcich servery množstvom zasielaných paketov.

Priame DDoS útoky vyžadujú rozsiahlu sieť útočiacich typicky infikovaných zariadení, v opačnom prípade útoky nemajú dostatočnú silu prípadne ich je možné relatívne jednoducho odfiltrovať. DDoS útoky posledných rokov preto bežne využívajú zosilnenie pomocou iných internetových zariadení.

Princípom takýchto útokov je zaslať dotaz niektorým z internetových protokolov postavených nad UDP na legitímne iné zariadenie na Internete so sfalšovanou zdrojovou adresou nastavenou na zamýšľaný cieľ útoku. Vyberané sú také protokoly a také ich parametre, pri ktorých je odpoveď mnohonásobne väčšia ako dotaz. Legitímne zariadenie vďaka sfalšovaniu zdrojovej adresy zašle odpoveď na cieľ útoku, pričom znásobuje sieťovú kapacitu dostupnú útočníkom a zároveň skrýva skutočné zdroje útokov.

Bežným typom zosilneného DDoS útoku je zosilnenie pomocou DNS, v poslednej dobe je bežné aj zosilnenie pomocou NTP. Aktuálne útoky využívajú protokol SNMP, ktorý slúži na zasielanie informácií o zariadeniach.

Útočníci na zosilnenie využívajú internetové zariadenia podporujúce SNMP v2, pri ktorom štandardne zariadenia poskytujú informácie aj bez autentifikácie. Pri zaznamenaných útokoch boli využívané routery, tlačiarne, káblové modemy ale aj desktopy a servery.

Útočníci použili SNMP dotaz GetBulk, ktorým si vyžiadali odpoveď obsahujúcu maximálne 2250 SNMP položiek. V prípade niektorých zariadení to viedlo k až 1700-násobnému zosilneniu, keď dotaz má 45 bajtov a odpoveď môže mať desiatky KB.

Útoky boli smerované na webové služby a útočníci ako zdrojový port, na ktorý zosilňujúce zariadenia poslali odpoveď, nastavovali port 80. Odštartovali 11. apríla, kedy mali intenzitu 90 Gbps. IP adresy zariadení používaných na zosilňovanie sa postupne dostali podľa Prolexic ale na rozličné blacklisty a intenzita útokov sa v nasledujúcich dňoch znížila.


      Zdieľaj na Twitteri



Najnovšie články:

Bitcoin dosiahol rekordnú cenu
Raspberry Pi má oficiálny aktívny chladič
Čínska sonda na orbite Mesiaca sa rozdelila, ide pristávať
Rusi začínajú vyvíjať 32-jadrový procesor
365.bank má problémy s aktualizáciou, užívateľom znovu stiahla platby z 2019 - aktualizácia 3
Prvý väčší let SpaceX Starship budúci týždeň
HAMR má umožniť aj lacnejšie menšie disky
Prvá väčšia vzorka z asteroidu sa blíži k Zemi, pristane budúci týždeň
TSMC postavila továreň na 3-nm čipy
Najnovšia verzia Windows 10 má po mesiaci podiel 9%


Diskusia:
                               
 

Ako to mozu posielat na TCP port 80 ked SNMP je UDP? ten zaver sa mi nejako nezda...
Odpovedať Známka: 5.6 Hodnotiť:
 

Lebo si k@k@t neznaly problematiky... SNMP je aj TCP. Verzia 2.
Odpovedať Známka: -8.3 Hodnotiť:
 

slusne sa opytal, tak mu laskavo slusne odpovedaj
Odpovedať Známka: 9.1 Hodnotiť:
 

chlapci nebudte husty ja posielam emaily po holubovi odozva 3 dni , prileti aj naspat takze TCP
Odpovedať Známka: 3.5 Hodnotiť:
 

en.wikipedia.org/wiki/IP_over_Avian_Carriers

to je aj realny protokol :)
Odpovedať Známka: 10.0 Hodnotiť:
 

ktovie kam by letel taky holub na LSD :)
Odpovedať Známka: 8.2 Hodnotiť:
 

...priamo k zemi!
Odpovedať Známka: 8.6 Hodnotiť:
 

no predsa na DSL :-)
Odpovedať Známka: 7.1 Hodnotiť:
 

zdravim, dobre som sa pobavil :) Poslal som to kolegovi (sietovy inzinier) nech mi nato napise svoj nazor.

Odpoved: "Nikdy som o tom nepocul ale vsetko je tam povedane - nie je to odporucane kvoli point-to-point nevyhode"
Odpovedať Známka: 10.0 Hodnotiť:
 

Sieťový inžinier by mal čítať /.
A všimnúť si RFC, ktoré vyjde okolo 1. apríla.
Nabudúce objaví evil-bit ;-)
Odpovedať Známka: 7.1 Hodnotiť:
 

TCP je skratka TvojaCmulaPenis ?
Odpovedať Známka: -5.0 Hodnotiť:
 

Bratu moj, radsej nepoucuj. Ja si svoju lasku necham pre niekoho, kto si to zasluzi a k@k@tkov ako ty budem posielat kam patria... studovat, studovat a este raz studovat, nez sa budu hrat na dalsieho Konfucia ;).
Odpovedať Známka: -8.5 Hodnotiť:
 

kokot si ty, pretoze toto s TCP portom 80 naozaj nic nema. Ci ako si to predstavujes? Poslem request na UDP port 80, a odpoved dostanem na TCP 80? Co ty fajcis? :-D
Odpovedať Známka: 6.7 Hodnotiť:
 

Pan je zjavne na urovni neandrtalca ci nasho retardovaneho prezidenta Gasparka, ktory si nie je schopny ani len dohladat informacie. http://goo.gl/30BU hla, vyval svoje oci na 162 a 199 a pri nich TCP aj SNMP.

To som vsak odbocil od temy. Fajcis daco ty a krizia sa ti oci alebo si bezkontextovy simpanz. Prispevok na ktory reagujes, reagoval na ineho jeba, ktory bol off-topic. Kontext, k@k@te, KONTEXT!
Odpovedať Známka: -5.0 Hodnotiť:
 

Aj UDP port moze byt 80, aj ked to nie je HTTP na TCP. Podla mna:ak poziadavka prisla cez UDP, tak aj odpoved by mala byt UDP. Takze otazka dobra, odpovedajuci neznaly aj neslusny.
Odpovedať Hodnotiť:
 

Nemôžu, navyše TCP sa takýmto spôsobom spoofovať nedá. Išlo o UDP port 80. To mohlo možno pomôcť preliezť cez nejakým spôsobom nastavené firewally...?
Odpovedať Známka: 5.7 Hodnotiť:
 

Ako ale mohli nasledne urobit DDOS na HTTP na protokole, na ktorom HTTP nefunguje?
Jedine, ze by islo o DDoS, pri ktorom bola snaha o zahltenie konektivity, v takom pripade by ale mitigacia mala byt extremne jednoducha (bloknut vsetok UDP na port 80), neverim, ze takto organizovany utocnik by urobil takuto trivialnu chybu.
Odpovedať Známka: 5.0 Hodnotiť:
 

Poopravim ta, SNMP bezi na TCP, alebo UDP portoch. Kazde ma svoje pro a proti, zalezi od konkretnej implementacie.
Inak odporucam si aspon precitat dovody a diery tej ktorej verzie aspon na: http://en.wikipedia.org/wiki/ Simple_Network_Management_Protocol

Osobne som sa uz par krat stretol s TCP verziou SNMP u routerov/switchov.
Odpovedať Hodnotiť:
 

To je sice pravda, ale tento DDoS zosilnenim cez SNMP reply sa cez TCP urobit neda kvoli tomu, ze pri TCP je nutne najprv naviazat spojenie, tym padom pri navazovani nie je mozne pouzit spoofnutu zdrojovu IP.
Odpovedať Hodnotiť:
 

Takzvaný nerdský jazyk, alebo nerdština v tom článku :)
Odpovedať Známka: 0.0 Hodnotiť:
 

slovo "dotaz" (v clanku) neexistuje v slovencine

spravne ma byt: otázka, dopyt
Odpovedať Známka: 6.2 Hodnotiť:
 

Warning! Grammar nazi dteCteD!
http://lnk.sk/bXN
Odpovedať Známka: -6.9 Hodnotiť:
 

takze v slohovej praci o SQL databazach na slovencine mas za "dotaz" jasnu 2-ku.
Odpovedať Známka: -2.0 Hodnotiť:
 

spravne je "kverka"
Odpovedať Známka: 2.5 Hodnotiť:
 

Tak neviem, je to podľa skloňovacieho vzoru "kvér"? To mi nesedí, kvér je predsa mužský vzor.
Odpovedať Známka: 0.0 Hodnotiť:
 

zpravne ma bit posiadauka
Odpovedať Známka: -3.3 Hodnotiť:
 

V realite si lepsie plateny za vedomosti o slovencine alebo za vedomosti o softverom inzinierstve ?
To je iba na okraj porovnanie. Vela slov sa neda z AJ rozumne prelozit ...
Odpovedať Známka: -3.3 Hodnotiť:
 

ja vam vobec nerozumiem
Odpovedať Známka: -3.3 Hodnotiť:
 

Evil printer
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár