Цифры растут: зарегистрирована атака в 620 Gbps

https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
  • Перевод


В сентябре этого года на сайт KrebsOnSecurity.com была произведена DDOS-атака большого объема и необычной природы. Атака не удалась благодаря работе команды Akamai, компании, которая обеспечивает защиту этого сайта. По данным Akamai, эта атака почти вдвое превосходила по объему самую крупную атаку до этого зарегистрированную компанией

Атака началась утром 20 сентября, и первоначально оценивалась в 665 Gbps, впоследствии в процессе анализа оказалось, что объем атаки несколько меньше – 620 Gbps. Такой объем – это во много раз больше, чем требуется для того, чтобы «уложить» большинство сайтов в интернете.

Как удалось провести такую атаку: ботнет из IoT устройств

По данным Akamai, наибольшая атака, которая ранее регистрировалась компанией, была объемом в 363 Gbps. Однако глобальная разница между этими атаками заключается в источнике трафика. Предыдущая рекордная атака в 363 Gbps была сгенерирована достаточно небольшим ботнетом, с помощью широко известных методов усиления, которые позволяют увеличить трафик, поступающий к «жертве», хотя исходное количество атакующих устройств относительно невелико.

В таких атаках используются проверенные методы, такие как «DNS-отражение». Используя неконтролируемые DNS-сервера в интернете, злоумышленники создают большой трафик.

В идеале DNS-сервера обрабатывают запросы только с доверенных машин. Однако техника DNS-отражения полагается на миллионы роутеров класса «для дома», которые также являются DNS-серверами, зачастую неправильно сконфигурированы и принимают такие запросы со всего интернета. Злоумышленники «подделывают» DNS-запросы к этим устройствам таким образом, чтобы казалось, что запрос исходит от «жертвы» атаки. Таким образом, ответ от устройства будет направлен на адрес «жертвы».

Есть также известный метод усиления такой атаки, который позволяет сделать ответ, направляемый на «жертву», гораздо больше по объему, чем изначально посланный запрос. В этом случае используется расширение DNS-протокола, допускающее большие DNS-сообщения. Изначальный запрос от атакующей системы может быть всего лишь 100 байт, в то время как ответ от устройства, направляемый на «жертву», может быть в 60-70 раз больше.

Поскольку злоумышленники обращаются к сотням подобных устройств по всему миру, сеть «жертвы» быстро оказывается поражена огромным количеством DNS-трафика.

В противоположность этим техникам усиления и отражения сентябрьская атака была запущена с очень большого ботнета без использования этих техник.

В большой доле использовались устаревшие методы атаки, которые требуют легитимного соединения между атакующим устройством и «жертвой», включая такие методы, как SYN-, GET- и POST-флуд.

Однако была и одна важная новация. Наибольшая часть этого трафика была сфальсифицирована так, чтобы выглядеть как пакеты общей инкапсуляции маршрутизации (GRE) – коммуникационного протокола, предназначенного для установления прямых соединений «точка-точка» между сетевыми узлами. GRE позволяет двум узлам делиться между собой данными, которыми они не могут поделиться через публичную сеть.

Подобная атака через GRE очень необычна. Дело в том, что источник GRE-трафика не может быть подделан так же легко, как злоумышленники поступают с DNS-трафиком. Тоже самое касается и устаревших методов атаки, упомянутых выше. Это позволяет предположить, что эта рекордная по объему атака была запущена с очень большого числа взломанных систем, исчисляемых сотнями тысяч.

В мире, очевидно, появился ботнет немыслимых ранее масштабов, и судя по географии запросов – распределенный по всему миру.

Некоторые свидетельства говорят о том, что в этой атаке было задействовано большое количество взломанных устройств, принадлежащих к «интернету вещей» — простейшие роутеры, IP-камеры и цифровые рекордеры, которые имеют доступ в интернет и защищены слабыми или несменяемыми паролями.

Как показано в последнем отчете Flashpoint, угроза от IoT-ботнетов появилась благодаря множеству вредоносных программ – Lizkebab, BASHLITE, Torlus, gagfyt. Исходный код этих вредоносов стал известен в 2015 году, и с тех пор стал «родителем» множества подвариантов.

Ботнеты захватывают новые устройства сканируя устройства, чтобы найти возможность установить в них вредоносный код. Существуют две основные модели такого сканирования. Первый вариант – когда боты сканируют порты telnet-серверов и пытаются подобрать логин-пароль брутфорсом, чтобы получить доступ к устройству.

Второй вариант, который становится все более распространенным, предполагает использование внешних сканирующих устройств, в частности сканирование может вестись с серверов, управляющих ботнетом. Эта модель позволяет добавить больше возможных методов заражения, включая брутфорс SSH-серверов и использование известных слабых мест в безопасности различных конкретных устройств.

Стоит отметить, что, похоже, сайт KrebsOnSecurity.com был выбран целью атаки из-за участия владельца сайта в преследовании сервиса «DDOS на заказ» vDOS, что привело к аресту двух людей, считающихся его основателями. Этот вывод сделан на основании того, что некоторые из POST-запросов атаки содержали строку «freeapplej4ck» — отсылку к нику одного из совладельцев vDOS.

Все это говорит о том, что со временем такие атаки гигантского масштаба могут стать нормой.
WEBO Group 54,37
Ускорение, доступность, отказоустойчивость сайта
Поделиться публикацией
Похожие публикации
Ой, у вас баннер убежал!

Ну. И что?
Реклама
Комментарии 16
  • –2
    Любопытно, можно ли такие ботнеты использовать для распределённого AI.
    И вдогонку — когда наконец кто-нибудь сумеет совместить бота с системой, которая будет автоматически учиться искать/использовать уязвимости для размножения и делиться инфой с другими. И чем всё это закончится…
    • 0
      И чем всё это закончится…

      skynet?
    • 0
      Если речь тупо о DNS/NTP amplification, то нет — это тупо работа по ограниченному набору запросов. Для чего-либо более серьёзного нужен полный контроль.
      • 0
        А разве там не полный? На сколько я понял по описанию — на них устанавливают свой код, т.е. контроль присутсвует.
        • 0
          Там разные варианты описаны. А эффект один — DDoS.
          • 0
            Ну эффект один просто потому, что именно этот эффект и является целевым. Собственно как раз речь о том, чтобы несколько разнообразить его.
    • 0
      Так вот, что за «шум» в Dreamfall

      image
      • +3

        Это рекордная для самого сайта krebsonsecurity.com.
        Вообще то вот тут есть более интересный твит (похоже что использовали такой же или тот же IoT botnet)


        • 0
          При этом VAC OVH не справился с атакой и многие направления просто блокировались без фильтрации.
          • 0
            Ага, OVH-овский VAC только и умеет что рубить обычный пользовательский траф, потеряли так несколько партнеров.
        • 0
          Вообще, если верить статье на Медузе, то Акамай в итоге отказался от обслуживания сайта и его, по доброй воле, под защиту забрал Гугл.
          • 0
            Во первых уже было, во вторых в соседней (https://habrahabr.ru/company/pt/blog/311754/) статье
            >а затем французский хостинг-провайдер OVH испытал еще более мощный DDoS мощностью 1 Тб/с.
            • 0
              DNS-сервера обрабатывают запросы только с доверенных машин

              не понял, вроде они с любых машин должны обрабатывать запросы?
              • 0
                Зависит от типа. Например, dns встроенный в домашний роутер, не должен «светиться» наружу. Аналогично dns провайдера, по логике, обслуживает только клиентов этого провайдера.

                Общее доступные dns (yandex/google и т.п.), конечно, должны отвечать всем. Но их не так много.
              • 0
                Некоторые свидетельства говорят о том, что в этой атаке было задействовано большое количество взломанных устройств, принадлежащих к «интернету вещей» — простейшие роутеры, IP-камеры и цифровые рекордеры, которые имеют доступ в интернет и защищены слабыми или несменяемыми паролями.

                Там, конечно, все примитивно, но по умолчанию вроде как WAN порт закрыт для админ доступа. Поэтому даже неизменный вариант «login: admin password: admin» не работает снаружи

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое
                Интересные публикации