На днях компания CloudFlare, специализирующаяся на безопасности и кэшировании веб-сайтов, стала жертвой самой мощной в истории Интернета DDoS-атаки интенсивностью 400 Гбит трафика в секунду.
DDoS-атаки проводятся злоумышленниками с подменой настоящего IP-адреса отправителя запроса через посредников — веб-серверов или подключенного к сети оборудования. Используя уязвимости в стандартных сетевых протоколах, злоумышленники переквалифицируют поддерживающие их устройства в мощное оружие для DDoS-атак - они перенаправляют (отражают) запросы, исходящие от атакующего на цель. При этом сама жертва видит только паразитный трафик, исходящий от посредников.
Большое количество посреднических хостов способно в ответ на небольшой запрос создать внушительный поток ответов, направленных непосредственно на цель атаки. При этом обычный NTP-протокол, работающий на базе UDP, предоставляет возможность для усиления DDoS-атаки, так как допускает отклик на пакеты с фальшивым IP-адресом источника. Как результат, выполнение как минимум одной из встроенных команд, в частности, MON_GETLIST, отправляет длинный ответ на короткий запрос, позволяя усилить мусорный трафик в сотни раз.
До этого момента самой мощной считалась прошлогодняя атака на некоммерческую организацию Spamhaus, занимающуюся борьбой со спамом, интенсивностью 300 Гбит/с. При этом, по данным PCmag, чтобы вывести из строя серверы крупной финансовой структуры нужно порядка 50 Гбит/с.
Сообщается, что злоумышленники использовали слабые места в сетевом протоколе Network Time Protocol, который используется для синхронизации внутренних часов компьютера, с целью вывести из строя европейские серверы. Дело в том, что протокол NTP обычно настраивают один раз. К тому же, сервис NTP обновляется очень редко, так что злоумышленники могут легко отыскать множество уязвимых NTP-серверов в Сети и использовать их по своему желанию.
В прошлом месяце в своем блоге CloudFlare сообщала, что исследователи уже давно предсказывали, что протокол NTP может когда-нибудь стать главным вектором в организации DDoS-атак, однако эта тенденция начала просматриваться только в последнее время. Подобные DDoS-атаки через публичные серверы точного времени в течение последних 6 месяцев вызвали множество проблем у некоторых игровых сайтов и поставщиков услуг.
Недавняя атака была направлена на одного из клиентов CloudFlare, чье имя компания не разглашает, однако она была настолько мощной, что сумела оказать влияние на всю внутреннюю сеть компании.
Специалисты в области информационной безопасности предупреждают, что эта атака является лишь верхушкой айсберга. До тех пор, пока неправильно настроенные NTP-серверы не будут очищены и обновлены, атаки данного рода будут продолжаться.
К слову, сетевые администраторы могут проверить наличие «уязвимости» в собственной инфраструктуре на сайте Open NTP Project.