The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.02.2014 17:39  DDoS-атака в 400 Гбит/с была совершена с привлечением всего 4529 NTP-серверов

Опубликованы подробности разбора DDoS-атаки, в результате которой на систему жертвы был направлен поток в 400 Гбит/с. Трафик в 400 Гбит/сек был сгенерирован с использованием всего 4529 уязвимых NTP-серверов, размещённых в 1298 различных сетях. В среднем каждый NTP-сервер генерировал в сторону жертвы поток с пропускной способностью 87 Mбит/сек. Для сравнения, в атаке на Spamhaus было задействовано 30956 открытых DNS-резолверов.

Примечательно, что теоретически, так как NTP позволяет усилить трафик в 206 раз, для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт и размещённым в сети, допускающей спуфинг IP-адреса получателя. Прогнозируется, что следующим шагом атакующих может стать вовлечение SNMP-серверов в качестве усилителей трафика. Теоретически, проблемный SNMP-сервер может обеспечить усиление трафика в 650 раз. В настоящее время уже фиксируются отдельные эксперименты атакующих с использованием SNMP.

  1. Главная ссылка к новости (http://blog.cloudflare.com/tec...)
  2. OpenNews: Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с (дополнено)
  3. OpenNews: Оценка методов усиления трафика при организации DDoS-атак
  4. OpenNews: Волна DDoS-атак, использующих NTP-серверы для усиления трафика
  5. OpenNews: Google и Arbor Networks подготовили интерактивную карту для визуализации DDoS-атак
  6. OpenNews: Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокирования DDoS-атак
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ddos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.3, Нанобот, 19:00, 14/02/2014 [ответить] [смотреть все]    [к модератору]
  • +/
    по одной ссылке написано, что увеличение в 206 раз, по другой - что в 556.9 раз...

    а насчёт snmp вообще непонятно, откуда информация

     
  • 1.4, linux must _RIP__, 19:38, 14/02/2014 [ответить] [смотреть все]    [к модератору]
  • –1 +/
    а при помощи dns sec можно получить тоже не слабое усиление.. что-то в районе 2-3кб ответа в ответ на < 100 байт запрос..
     
     
  • 2.5, Аноним, 19:47, 14/02/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +1 +/
    3кб на 100б - это усиление в x30 раз По сравнению с x200 и x600, о которых идет... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Аноним, 21:39, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну да, когда атакующий с 1 серванта с гигабитом нальет тебе 30 Гбит - тогда расс... весь текст скрыт [показать]
     
     
  • 4.64, csdoc, 16:33, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Проблема с DNS тоже решаема с помощью Response Rate Limiting http www opennet... весь текст скрыт [показать]
     
  • 1.6, имя, 19:47, 14/02/2014 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Что-что, простите ... весь текст скрыт [показать]
     
     
  • 2.7, Аноним, 19:48, 14/02/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Именно так Попробуйте прочитай новость и понять ее смысл, а не бежать комментир... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, имя, 19:54, 14/02/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    И как эти 200 Гбит пролезут в гигабитный порт, по-вашему?
     
     
  • 4.10, AlexAT, 20:11, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    В гигабитный порт пролезет гигабит запросов А усиляющие серверы NTP DNS whate... весь текст скрыт [показать]
     
  • 1.8, Аноним, 19:52, 14/02/2014 [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Все это очень занимательно, но не надо забывать и про суть спецы CloudFlare, ... весь текст скрыт [показать]
     
     
  • 2.11, AlexAT, 20:13, 14/02/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Боюсь, что именно так - и антидосеры сами по себе даже уже не интересны, тут ско... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Аноним, 21:47, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    При 4500 серверов в атаке таки достаточно реально просто нанять человека который... весь текст скрыт [показать]
     
     
  • 4.31, Аноним, 22:48, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Абузы рассылаются Не помогает Пока-то до админа дойдет, пока согласуется Нема... весь текст скрыт [показать]
     
     
  • 5.32, Аноним, 22:51, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Значит надо рассылать абузы выше по иерархии Как завалится у кулсисопа интернет... весь текст скрыт [показать]
     
     
  • 6.42, Аноним, 02:29, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Так можно пол-интернета уронить Роскомнадзор за такое орден даст ... весь текст скрыт [показать]
     
     
  • 7.45, Аноним, 02:46, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    дык если ничего не делать - можно уровнить Весь даже Роскомнадзор - обрыдается ... весь текст скрыт [показать]
     
  • 7.46, Аноним, 04:34, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Можно И если вы еще не заметили - вообще-то уже падает Детишки нашли спички В... весь текст скрыт [показать]
     
  • 6.56, AlexAT, 08:58, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вот сразу видно, что человек с операторским бизнесом слегка не знаком Точечные ... весь текст скрыт [показать]
     
     
  • 7.65, Аноним, 16:42, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да бывают такие отрубатели Особенно среди админов локалхоста Далеко не всегд... весь текст скрыт [показать]
     
     
  • 8.66, csdoc, 16:48, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    какой смысл провайдеру делать возможным IP address spoofing чтобы потом в авра... весь текст скрыт [показать]
     
     
  • 9.67, Аноним, 17:50, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Потому, что иногда, например, используется BGP Или хитрые схемы с маршрутизируе... весь текст скрыт [показать]
     
     
  • 10.68, csdoc, 18:04, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Защита от спуфа не на входящем, а на исходящем трафике Например, захотел клиент... весь текст скрыт [показать]
     
     
  • 11.69, Аноним, 18:14, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку даже ... весь текст скрыт [показать]
     
     
  • 12.70, csdoc, 18:24, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Сейчас - это делают уже более 75 провайдеров И они не считают, что это бесполе... весь текст скрыт [показать]
     
     
  • 13.80, Аноним, 15:59, 16/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Проблема только в том что хватит и 25 И даже 5 И дожать всех врядли получитс... весь текст скрыт [показать]
     
     
  • 14.83, csdoc, 18:40, 16/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Как есть разница между 100 уязвимых сетей и 25 уязвимых сетей, так и есть разн... весь текст скрыт [показать]
     
  • 3.53, Аноним, 04:57, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    По логике вещей у защитника может быть дофига серверов по всей планете Вместо... весь текст скрыт [показать]
     
     
  • 4.57, AlexAT, 09:00, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А так оно у cloudflare и есть - они распределенные Хитрость последних атак в то... весь текст скрыт [показать]
     
     
  • 5.81, Аноним, 16:00, 16/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Знаешь, при этом не только доступность cloudflare оказалась нарушенной ... весь текст скрыт [показать]
     
     
  • 6.82, AlexAT, 17:37, 16/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А атакующим, знаешь, наплевать Даже если при этом вся сеть ляжет - цель всё рав... весь текст скрыт [показать]
     
     
  • 7.84, csdoc, 18:44, 16/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не факт DDoS-атака на сайт могла быть вызвана конкурентами, владельцами другого... весь текст скрыт [показать]
     
  • 2.14, csdoc, 20:48, 14/02/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –5 +/
    где и когда они такое гарантировали 99 защита - это лучше, чем 0 защита ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, AlexAT, 20:55, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В данном случае, увы, получается уже 0 защита По сути приходится иметь дело с ... весь текст скрыт [показать]
     
     
  • 4.16, csdoc, 21:02, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    0 защита - это только на сегодняшний день и только от ддос-атак на 400 Гбит Д... весь текст скрыт [показать]
     
     
  • 5.18, Аноним, 21:04, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Сейчас - да Но после того, как CloudFlare публично слились, а технология опубли... весь текст скрыт [показать]
     
     
  • 6.20, csdoc, 21:37, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Что значит публично слились У них в блоге написано On Monday we mitigated a... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 8.59, 55039, 11:16, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Проблема не только в протоколе Операторов не проверяющих соср адрес своих клиен... весь текст скрыт [показать]
     
     
  • 9.63, csdoc, 16:29, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Кстати, сейчас в мире осталось всего 24 6 сетей, которые позволяют IP Spoofing ... весь текст скрыт [показать]
     
  • 5.26, Аноним, 21:56, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Подсказка для йуных пЫонеров как сделать ддос на 400 гбит у себя на кухне Бер... весь текст скрыт [показать]
     
     
  • 6.28, csdoc, 22:03, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Это приведет только к тому, что количество криво настроенных NTP-серверов очень ... весь текст скрыт [показать]
     
     
  • 7.30, Аноним, 22:33, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А вы думаете что я очень хочу видеть юных пЫонеров с 400Гбит ддосами Просто кли... весь текст скрыт [показать]
     
  • 3.17, Аноним, 21:03, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это их специализация, вообще-то Да Но тут речь идет о 1 защите за кучу бабок ... весь текст скрыт [показать]
     
     
  • 4.24, csdoc, 21:46, 14/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    https www cloudflare com business действительно, здесь написано про 100 uptim... весь текст скрыт [показать]
     
     
  • 5.37, Аноним, 02:21, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Посчитал на пальцах Во-первых, пока они даже 400 не выдержали, во-вторых, NTP-с... весь текст скрыт [показать]
     
     
  • 6.49, Аноним, 04:48, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Но большинтсво из них не умеет нужный усилительный пакет ... весь текст скрыт [показать]
     
  • 6.61, csdoc, 16:12, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Они 400 Гбит с выдержали И могут выдержать еще больше Из них криво настроенных... весь текст скрыт [показать]
     
  • 6.50, Аноним, 04:49, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    С другой стороны, они и правда же вполне могут встретить крутой флуд могучей рас... весь текст скрыт [показать]
     
  • 5.73, Аноним, 22:52, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    uptime и availability - разные вещи 100 uptime у них был А вот 100 availabil... весь текст скрыт [показать]
     
     ....нить скрыта, показать (38)

  • 1.33, Аноним, 23:19, 14/02/2014 [ответить] [смотреть все]     [к модератору]  
  • +/
    Да пусть хоть 50 дата центров у cloudflare, факт остается фактом от DDoS 100 за... весь текст скрыт [показать]
     
     
  • 2.34, Аноним, 23:59, 14/02/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Есть только 1 метод защититься от распределенной атаки Ответить тем же самым - ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Аноним, 02:27, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Этот метод работал против атак без усиления На принимающей стороне вот так, за ... весь текст скрыт [показать]
     
     
  • 4.48, Аноним, 04:39, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Этот метод работает против всего Вот смотрите, возьмем битторент Завалить серв... весь текст скрыт [показать]
     
  • 4.51, Аноним, 04:51, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Или отвечать атакующим их же методами - выставив распределенную структуру Напло... весь текст скрыт [показать]
     
  • 2.35, csdoc, 00:04, 15/02/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –5 +/
    Чем больше у них датацентров - тем лучше уровень защиты от DDoS Подробности h... весь текст скрыт [показать] [показать ветку]
     
  • 2.74, Аноним, 22:53, 15/02/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    В предыдущем комментарии опять одна и та же реклама С цифрами 100 , мне нет дел... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.75, csdoc, 23:19, 15/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    400 Гбит с разделить на 24 датацентра 16 7 Гбит с - это не так уж и много Се... весь текст скрыт [показать]
     
     ....нить скрыта, показать (7)

  • 1.54, Аноним, 06:30, 15/02/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    Зачем такое количество NTP серверов вообще существует?
     
     
  • 2.55, Аноним, 08:22, 15/02/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Затем что если все будут долбить несколько серверов - 400Гбит траффика прилетит ... весь текст скрыт [показать] [показать ветку]
     
  • 1.62, Аноним, 16:22, 15/02/2014 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Скажите спасибо FreeBSD, у них только во FreeBSD 10 по дефолту запретили эти зап... весь текст скрыт [показать]
     
     
  • 2.76, xM, 14:35, 16/02/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Начнём с того, что во FreeBSD по дефолту ntpd вообще никогда не запускался Отсю... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.77, Аноним, 15:16, 16/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ага, и все, основанное на SSL, тихо идет фхтагн - потому что там требуется, в ча... весь текст скрыт [показать]
     
     
  • 4.78, xM, 15:48, 16/02/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Очень может быть Только не понятно, какое это отношение имеет к самой системе ... весь текст скрыт [показать]
     
  • 1.85, Аноним, 12:39, 17/02/2014 [ответить] [смотреть все]     [к модератору]  
  • +/
    Хочу чтобы на мой компьютер была совершена такая атака, а компьютер бы глючил и ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor