Nový rekordný DDoS útok, nový typ dosiahol 1.7 Tbps

Značky: bezpečnosťInternet

DSL.sk, 6.3.2018

Nový rekord intenzity internetových DDoS útokov viac ako 1.3 Tbps nevydržal ani celý týždeň a aktuálne ho prekonal ďalší intenzívny útok fungujúci na rovnakom princípe zosilnenia cez memcached servery s maximálnou dátovou prevádzkou až 1.7 Tbps.

Útok detekovala bezpečnostná divízia Arbor Networks spoločnosti Netscout, ktorá poskytuje aj služby ochrany proti DDoS útokom.

Kto bol konkrétne cieľom útoku a presne kedy k nemu prišlo spoločnosť neuvádza, terč charakterizuje iba ako klienta amerického poskytovateľa.

Pri DDoS útokoch ide útočníkom o preťaženie zdrojov cieľa ich útoku. Často je to obyčajné zahltenie sieťových liniek, ktorými sú servery služieb pripojené do Internetu, respektíve sieťovej infraštruktúry.

Potrebnú intenzívnu dátovú prevádzku útočníci môžu efektívne generovať napríklad pomocou botnetov ovládaných zariadení, veľmi častým používaným princípom je ale zosilnenie útoku.

Priebeh doteraz najsilnejšieho DDoS útoku z minulého týždňa, kliknite pre zväčšenie (graf: Akamai)

Na tento účel sa používajú legitímne cudzie servery rozličných protokolov, na ktoré sa pošle požiadavka na odpoveď zo sfalšovanej IP adresy nastavenej na IP adresu cieľa útoku. Server na túto požiadavku odpovie a odpoveď pošle tak v skutočnosti na IP adresu cieľa útoku. Ak je odpoveď výrazne väčšia ako pôvodný dotaz, príde tak k znásobeniu pásma útoku.

Pre tieto účely sa používajú najmä protokoly postavené na UDP, u ktorých je možné ľahko falšovať zdrojovú IP adresu. Príkladom môže byť použitie DNS serverov, ktoré na dotaz o veľkosti desiatok bajtov môžu odpovedať mnohonásobne väčšou odpoveďou.

Nový identifikovaný typ útoku funguje tiež na podobnom princípe, na zosilnenie využíva servery Memcached. Memcached je cachovací systém rozličných objektov, napríklad z databáz pre weby, a štandardne jeho servery nebývajú prístupné z Internetu a nemajú nastavenú autentifikáciu. V skutočnosti je ale z Internetu v súčasnosti prístupné množstvo takýchto serverov.

Memcached dokáže útok zosilniť mimoriadne efektívne, Akamai ktorá detekovala rekordný viac ako 1.3 Tbps útok uvádzala ale dva líšiace sa faktory zosilnenia. Memcached počúva aj na UDP porte 11211 a na požiadavku na zaslanie nacachovaného objektu tento odošle prípadne vo viacerých UDP paketoch. Jednotlivé objekty môžu mať veľkosť do 1 MB, v jednom pakete sa ich dá vyžiadať viac. Ak zneužívaný Memcached server nemá uložené objekty potrebnej veľkosti, útočník ich môže pred útokom uložiť.

Celkovo sa paketom o veľkosti 203 bajtov dá podľa Akamai spôsobiť odoslanie odpovedí o celkovej veľkosti 100 MB, čo je faktor zosilnenia až takmer 500 tisíc. V texte ale hovorí Akamai o faktore viac ako 50 tisíc.

Útoky týmto typom sa začali intenzívnejšie podľa dostupných informácií využívať len na začiatku minulého týždňa a v stredu tesne pred 18:30 nášho času bol tento typ útoku použitý proti službe pre vývojárov GitHub s dovtedy maximálnou intenzitou DDoS útoku dosahujúcou podľa Akamai 1.3 Tbps. Akamai chrániaca službu pomocou Akamai Prolexic útok jednoducho za pár minút zablokovala blokovaním UDP paketov z portu 11211.




Najnovšie články:



Diskusia:

FUP300 Od reg.: Elek3KAR | Pridané: 6.3.2018 9:18 Ak by ich provider uplatňoval FUP, nič takéto by sa nestalo. Odpovedať Známka: 10.0 Hodnotiť:

Re: FUP300 Od: fero z moskvy | Pridané: 6.3.2018 9:34 250 MB za 50 centov denne a ziadne Tbps DDoS utoky by neboli !!! Odpovedať Známka: 10.0 Hodnotiť:

Re: FUP300 Od: syntaxterrorX XX | Pridané: 6.3.2018 9:52 Prave na tom je ale zalozene tazenie kryptomeny bal$ncero. Odpovedať Známka: -7.1 Hodnotiť:

Re: FUP300 Od: adasda | Pridané: 6.3.2018 12:01 na FUP? Odpovedať Známka: 10.0 Hodnotiť:

Re: FUP300 Od: kjhnou | Pridané: 6.3.2018 13:15 https://tinyurl.com/yckmrd8h Odpovedať Hodnotiť:

Hmmmmm.... Od: Hhhhhhhh | Pridané: 6.3.2018 9:30 ....realne s tym nic neurobia :-/ Odpovedať Hodnotiť:

kkkkk Od: dfdfg | Pridané: 6.3.2018 10:10 Ako za par minut zablokovala? Zablokovala, ze tych 1.3Tb sa nedostalo na server ale tych 1.3 Tb muselo nadalej zahlcovat linku. Ochranili server ale konektivitu nie. Odpovedať Známka: -3.3 Hodnotiť:

Re: kkkkk Od reg.: Redakcia DSL.sk | Pridané: 6.3.2018 11:49 Služby ochrany proti DDoS samozrejme útoky neblokujú až pri koncových cieľoch ale skôr. Odpovedať Známka: -4.3 Hodnotiť:

Re: kkkkk Od: Bokadin | Pridané: 6.3.2018 12:02 Kdesi som cital ze presmerovali traffic na svoju siet kde ho ocistili od DDoS trafficu. nieco v tom zmysle Odpovedať Hodnotiť:

Re: kkkkk Od: WisdomDealer | Pridané: 6.3.2018 17:20 Vola sa to scrubbing center a robi sa to cez rekonfiguraciu BGP protokolu :D Odpovedať Hodnotiť:

Vcera Cloudflare, dnes Arbor, zajtra Flowmon? Od: kalinak ide dole | Pridané: 6.3.2018 11:09 Dlho nebolo pocut o chlapcoch z Arboru, tak na seba zautocili, aby sa pripomenuli, ze su najlepsi v DDoS ochrane. Tipujem, ze v blizkej dobe sa pridaju dalsi anti-DDoS vendori, ktori tiez zazracne utlmia utoky na "nezname" ciele. Odpovedať Známka: 6.7 Hodnotiť:

Utok aj na \"Hlavne spravy\" Od: jyfb | Pridané: 6.3.2018 13:14 Od vcera je vedeny utok aj na dennik "Hlavne spravy" Kto je za tym? https://tinyurl.com/yckmrd8h Odpovedať Známka: 1.1 Hodnotiť:

___________ Od: ParaNoik | Pridané: 6.3.2018 15:55 Stoja za tym sami a tak si nahanaju ksefty. Take IT srotovne. Nic neobvykle v dnesnej dobe. Odpovedať Hodnotiť:

Pridať komentár