The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.02.2014 17:39  DDoS-атака в 400 Гбит/с была совершена с привлечением всего 4529 NTP-серверов

Опубликованы подробности разбора DDoS-атаки, в результате которой на систему жертвы был направлен поток в 400 Гбит/с. Трафик в 400 Гбит/сек был сгенерирован с использованием всего 4529 уязвимых NTP-серверов, размещённых в 1298 различных сетях. В среднем каждый NTP-сервер генерировал в сторону жертвы поток с пропускной способностью 87 Mбит/сек. Для сравнения, в атаке на Spamhaus было задействовано 30956 открытых DNS-резолверов.

Примечательно, что теоретически, так как NTP позволяет усилить трафик в 206 раз, для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт и размещённым в сети, допускающей спуфинг IP-адреса получателя. Прогнозируется, что следующим шагом атакующих может стать вовлечение SNMP-серверов в качестве усилителей трафика. Теоретически, проблемный SNMP-сервер может обеспечить усиление трафика в 650 раз. В настоящее время уже фиксируются отдельные эксперименты атакующих с использованием SNMP.

  1. Главная ссылка к новости (http://blog.cloudflare.com/tec...)
  2. OpenNews: Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с (дополнено)
  3. OpenNews: Оценка методов усиления трафика при организации DDoS-атак
  4. OpenNews: Волна DDoS-атак, использующих NTP-серверы для усиления трафика
  5. OpenNews: Google и Arbor Networks подготовили интерактивную карту для визуализации DDoS-атак
  6. OpenNews: Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокирования DDoS-атак
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ddos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.3, Нанобот (ok), 19:00, 14/02/2014 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    по одной ссылке написано, что увеличение в 206 раз, по другой - что в 556.9 раз...

    а насчёт snmp вообще непонятно, откуда информация

     
  • 1.4, linux must _RIP__ (?), 19:38, 14/02/2014 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    а при помощи dns sec можно получить тоже не слабое усиление.. что-то в районе 2-3кб ответа в ответ на < 100 байт запрос..
     
     
  • 2.5, Аноним (-), 19:47, 14/02/2014 [^] [ответить]    [к модератору]
  • +1 +/
    3кб на 100б - это усиление в x30 раз.
    По сравнению с x200 и x600, о которых идет речь - это ерунда.
     
     
  • 3.21, Аноним (-), 21:39, 14/02/2014 [^] [ответить]    [к модератору]
  • +/
    Ну да, когда атакующий с 1 серванта с гигабитом нальет тебе 30 Гбит - тогда расскажешь как тебе такая "ерунда".
     
     
  • 4.64, csdoc (ok), 16:33, 15/02/2014 [^] [ответить]     [к модератору]
  • +/
    Проблема с DNS тоже решаема с помощью Response Rate Limiting http www opennet... весь текст скрыт [показать]
     
  • 1.6, имя (?), 19:47, 14/02/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    > для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт

    Что-что, простите?

     
     
  • 2.7, Аноним (-), 19:48, 14/02/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    Именно так Попробуйте прочитай новость и понять ее смысл, а не бежать комментир... весь текст скрыт [показать]
     
     
  • 3.9, имя (?), 19:54, 14/02/2014 [^] [ответить]    [к модератору]  
  • –3 +/
    И как эти 200 Гбит пролезут в гигабитный порт, по-вашему?
     
     
  • 4.10, AlexAT (ok), 20:11, 14/02/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    В гигабитный порт пролезет гигабит запросов. А "усиляющие" серверы NTP/DNS/whatever дадут 200 гигабит ответов в сторону жертвы. Контроль над ними не требуется. Это ДОТ.
     
  • 1.8, Аноним (-), 19:52, 14/02/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    Все это очень занимательно, но не надо забывать и про суть спецы CloudFlare, ... весь текст скрыт [показать]
     
     
  • 2.11, AlexAT (ok), 20:13, 14/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Боюсь, что именно так - и антидосеры сами по себе даже уже не интересны, тут ско... весь текст скрыт [показать]
     
     
  • 3.25, Аноним (-), 21:47, 14/02/2014 [^] [ответить]     [к модератору]  
  • +/
    При 4500 серверов в атаке таки достаточно реально просто нанять человека который... весь текст скрыт [показать]
     
     
  • 4.31, Аноним (-), 22:48, 14/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Абузы рассылаются Не помогает Пока-то до админа дойдет, пока согласуется Нема... весь текст скрыт [показать]
     
     
  • 5.32, Аноним (-), 22:51, 14/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Значит надо рассылать абузы выше по иерархии Как завалится у кулсисопа интернет... весь текст скрыт [показать]
     
     
  • 6.42, Аноним (-), 02:29, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Так можно пол-интернета уронить Роскомнадзор за такое орден даст ... весь текст скрыт [показать]
     
     
  • 7.45, Аноним (-), 02:46, 15/02/2014 [^] [ответить]    [к модератору]  
  • +/
    дык если ничего не делать - можно уровнить Весь.
    даже Роскомнадзор - обрыдается.
    да что там, даже талибан и каннибалы с острова Бали - пойдут сдаваться в Интерпол.
     
  • 7.46, Аноним (-), 04:34, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Можно И если вы еще не заметили - вообще-то уже падает Детишки нашли спички В... весь текст скрыт [показать]
     
  • 6.56, AlexAT (ok), 08:58, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Вот сразу видно, что человек с операторским бизнесом слегка не знаком Точечные ... весь текст скрыт [показать]
     
     
  • 7.65, Аноним (-), 16:42, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Да бывают такие отрубатели Особенно среди админов локалхоста Далеко не всегд... весь текст скрыт [показать]
     
     
  • 8.66, csdoc (ok), 16:48, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    какой смысл провайдеру делать возможным IP address spoofing чтобы потом в авра... весь текст скрыт [показать]
     
     
  • 9.67, Аноним (-), 17:50, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Потому, что иногда, например, используется BGP Или хитрые схемы с маршрутизируе... весь текст скрыт [показать]
     
     
  • 10.68, csdoc (ok), 18:04, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Защита от спуфа не на входящем, а на исходящем трафике Например, захотел клиент... весь текст скрыт [показать]
     
     
  • 11.69, Аноним (-), 18:14, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку даже ... весь текст скрыт [показать]
     
     
  • 12.70, csdoc (ok), 18:24, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Сейчас - это делают уже более 75 провайдеров И они не считают, что это бесполе... весь текст скрыт [показать]
     
     
  • 13.80, Аноним (-), 15:59, 16/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > Сейчас - это делают уже более 75% провайдеров.

    Проблема только в том что хватит и 25%. И даже 5%. И дожать всех врядли получится.

     
     
  • 14.83, csdoc (ok), 18:40, 16/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Как есть разница между 100 уязвимых сетей и 25 уязвимых сетей, так и есть разн... весь текст скрыт [показать]
     
  • 3.53, Аноним (-), 04:57, 15/02/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    По логике вещей у защитника может быть дофига серверов по всей планете Вместо... весь текст скрыт [показать]
     
     
  • 4.57, AlexAT (ok), 09:00, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    А так оно у cloudflare и есть - они распределенные Хитрость последних атак в то... весь текст скрыт [показать]
     
     
  • 5.81, Аноним (-), 16:00, 16/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > В итоге доступность клиентов все равно оказалась нарушенной, просто не везде.

    Знаешь, при этом не только доступность cloudflare оказалась нарушенной.

     
     
  • 6.82, AlexAT (ok), 17:37, 16/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > Знаешь, при этом не только доступность cloudflare оказалась нарушенной.

    А атакующим, знаешь, наплевать. Даже если при этом вся сеть ляжет - цель всё равно будет достигнута.

     
     
  • 7.84, csdoc (ok), 18:44, 16/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Не факт DDoS-атака на сайт могла быть вызвана конкурентами, владельцами другого... весь текст скрыт [показать]
     
  • 2.14, csdoc (ok), 20:48, 14/02/2014 [^] [ответить]     [к модератору]  
  • –5 +/
    где и когда они такое гарантировали 99 защита - это лучше, чем 0 защита ... весь текст скрыт [показать]
     
     
  • 3.15, AlexAT (ok), 20:55, 14/02/2014 [^] [ответить]    [к модератору]  
  • +/
    В данном случае, увы, получается уже 0% защита. По сути приходится иметь дело с трафиком непреодолимой силы. 400 Гбит - это только начало экспериментов.


     
     
  • 4.16, csdoc (ok), 21:02, 14/02/2014 [^] [ответить]     [к модератору]  
  • –4 +/
    0 защита - это только на сегодняшний день и только от ддос-атак на 400 Гбит Д... весь текст скрыт [показать]
     
     
  • 5.18, Аноним (-), 21:04, 14/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Сейчас - да Но после того, как CloudFlare публично слились, а технология опубли... весь текст скрыт [показать]
     
     
  • 6.20, csdoc (ok), 21:37, 14/02/2014 [^] [ответить]     [к модератору]  
  • –3 +/
    Что значит публично слились У них в блоге написано On Monday we mitigated a... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 8.59, 55039 (?), 11:16, 15/02/2014 [^] [ответить]    [к модератору]  
  • +/
    Проблема не только в протоколе. Операторов не проверяющих соср адрес своих клиентов быть не должно.
     
     
  • 9.63, csdoc (ok), 16:29, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Кстати, сейчас в мире осталось всего 24 6 сетей, которые позволяют IP Spoofing ... весь текст скрыт [показать]
     
  • 5.26, Аноним (-), 21:56, 14/02/2014 [^] [ответить]     [к модератору]  
  • +3 +/
    Подсказка для йуных пЫонеров как сделать ддос на 400 гбит у себя на кухне Бер... весь текст скрыт [показать]
     
     
  • 6.28, csdoc (ok), 22:03, 14/02/2014 [^] [ответить]     [к модератору]  
  • –3 +/
    Это приведет только к тому, что количество криво настроенных NTP-серверов очень ... весь текст скрыт [показать]
     
     
  • 7.30, Аноним (-), 22:33, 14/02/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    А вы думаете что я очень хочу видеть юных пЫонеров с 400Гбит ддосами Просто кли... весь текст скрыт [показать]
     
  • 3.17, Аноним (-), 21:03, 14/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > где и когда они такое гарантировали?

    Это их специализация, вообще-то.

    > 99% защита - это лучше, чем 0% защита.

    Да. Но тут речь идет о 1% защите за кучу бабок.

     
     
  • 4.24, csdoc (ok), 21:46, 14/02/2014 [^] [ответить]     [к модератору]  
  • –4 +/
    https www cloudflare com business действительно, здесь написано про 100 uptim... весь текст скрыт [показать]
     
     
  • 5.37, Аноним (-), 02:21, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Посчитал на пальцах Во-первых, пока они даже 400 не выдержали, во-вторых, NTP-с... весь текст скрыт [показать]
     
     
  • 6.49, Аноним (-), 04:48, 15/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > больше, чем 4529.

    Но большинтсво из них не умеет нужный усилительный пакет :).

     
  • 6.61, csdoc (ok), 16:12, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Они 400 Гбит с выдержали И могут выдержать еще больше Из них криво настроенных... весь текст скрыт [показать]
     
  • 6.50, Аноним (-), 04:49, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    С другой стороны, они и правда же вполне могут встретить крутой флуд могучей рас... весь текст скрыт [показать]
     
  • 5.73, Аноним (-), 22:52, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    uptime и availability - разные вещи 100 uptime у них был А вот 100 availabil... весь текст скрыт [показать]
     
     ....нить скрыта, показать (38)

  • 1.33, Аноним (-), 23:19, 14/02/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Да пусть хоть 50 дата центров у cloudflare, факт остается фактом от DDoS 100 за... весь текст скрыт [показать]
     
     
  • 2.34, Аноним (-), 23:59, 14/02/2014 [^] [ответить]    [к модератору]  
  • +/
    Есть только 1 метод защититься от распределенной атаки. Ответить тем же самым - своей распределенной структурой, которая справится с нагрузкой.
     
     
  • 3.41, Аноним (-), 02:27, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Этот метод работал против атак без усиления На принимающей стороне вот так, за ... весь текст скрыт [показать]
     
     
  • 4.48, Аноним (-), 04:39, 15/02/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Этот метод работает против всего Вот смотрите, возьмем битторент Завалить серв... весь текст скрыт [показать]
     
  • 4.51, Аноним (-), 04:51, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Или отвечать атакующим их же методами - выставив распределенную структуру Напло... весь текст скрыт [показать]
     
  • 2.35, csdoc (ok), 00:04, 15/02/2014 [^] [ответить]     [к модератору]  
  • –5 +/
    Чем больше у них датацентров - тем лучше уровень защиты от DDoS Подробности h... весь текст скрыт [показать]
     
  • 2.74, Аноним (-), 22:53, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    В предыдущем комментарии опять одна и та же реклама С цифрами 100 , мне нет дел... весь текст скрыт [показать]
     
     
  • 3.75, csdoc (ok), 23:19, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    400 Гбит с разделить на 24 датацентра 16 7 Гбит с - это не так уж и много Се... весь текст скрыт [показать]
     
     ....нить скрыта, показать (7)

  • 1.54, Аноним (-), 06:30, 15/02/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Зачем такое количество NTP серверов вообще существует?
     
     
  • 2.55, Аноним (-), 08:22, 15/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Затем что если все будут долбить несколько серверов - 400Гбит траффика прилетит ... весь текст скрыт [показать]
     
  • 1.62, Аноним (-), 16:22, 15/02/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Скажите спасибо FreeBSD, у них только во FreeBSD 10 по дефолту запретили эти зап... весь текст скрыт [показать]
     
     
  • 2.76, xM (ok), 14:35, 16/02/2014 [^] [ответить]    [к модератору]  
  • +/
    Начнём с того, что во FreeBSD по дефолту ntpd вообще никогда не запускался.
    Отсюда ваши претензии не по адресу.
     
     
  • 3.77, Аноним (-), 15:16, 16/02/2014 [^] [ответить]     [к модератору]  
  • +/
    Ага, и все, основанное на SSL, тихо идет фхтагн - потому что там требуется, в ча... весь текст скрыт [показать]
     
     
  • 4.78, xM (ok), 15:48, 16/02/2014 [^] [ответить]    [к модератору]  
  • +/
    Очень может быть. Только не понятно, какое это отношение имеет к самой системе?
     
  • 1.85, Аноним (-), 12:39, 17/02/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Хочу чтобы на мой компьютер была совершена такая атака, а компьютер бы глючил и ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor