In-the-Wild-DDoSes nutzen neue Wege, um dies zu erreichen undenkbare Größen

In-the-wild DDoSes nutzen neue Wege, um undenkbare Größen zu erreichenWikipedia

Hacker haben einen Weg gefunden, verteilt zu verstärken Denial-of-Service-Angriffe um das 51.000-fache Ursprüngliche Stärke in einer Entwicklung, zu der Whitehats führen könnte neue Angriffe auf Rekorde, die Websites und das Internet ausschalten Infrastruktur.

Weitere Lektüre

DoS-Angriffe, bei denen große Spieleseiten heruntergefahren wurden, missbrauchten die Zeitsynchronisierung des Webs protocolDDoS-Vandalen haben ihre Angriffe seit langem durch Senden verstärkt eine kleine Anzahl speziell gestalteter Datenpakete an die Öffentlichkeit verfügbare Dienste. Die Dienste antworten dann unabsichtlich durch Senden einer viel größeren Anzahl unerwünschter Pakete an ein Ziel. Das Die bekanntesten Vektoren für diese DDoS-Amplifikationsangriffe sind schlecht Auflösungsserver für gesicherte Domänennamensysteme, die vergrößern Volumes um das 50-fache und Network Time Protocol, das increases volumes by about 58 times.Cloudflare

Am Dienstag berichteten Forscher, dass Angreifer a missbrauchen zuvor obskure Methode, die Angriffe 51.000 Mal ihre liefert Originalgröße, was es bei weitem zur größten Verstärkungsmethode macht jemals in freier Wildbahn verwendet. Der Vektor wird diesmal gespeichert, a Datenbank-Caching-System zur Beschleunigung von Websites und Netzwerken. Über In der vergangenen Woche haben Angreifer damit begonnen, DDoSes bereitzustellen mit Volumen von 500 Gigabit pro Sekunde und mehr, DDoS-Minderung Service Arbor Networks berichtet in einem Blogbeitrag.

Beamte des Content Delivery Network Cloudflare, die berichteten Die Angriffe hier, sagten die Angriffe, die sie sehen, kommen von weniger als 6.000 Memcached Server, die im Internet erreichbar sind. Suchanfragen zeigen, dass es mehr als 88.000 solcher Server gibt Anzeichen dafür, dass das Potenzial für Angriffe viel größer wird.

“Das ist ein außergewöhnlich großer Verstärkungsfaktor”, sagte John Graham-Cumming, CTO des Content Delivery Network Cloudflare, der fügte hinzu, dass dies der größte Verstärkungsfaktor ist, den er jemals hatte gesehen. “Ich würde in der nächsten Woche damit rechnen, oder so, wir werden einige sehr sehen große Angriffe von über einem Terabit pro Sekunde. ”

Johnathan Azaria, Sicherheitsforscher bei DDoS Mitigation Service Imperva schätzt die Vergrößerung auf einen Faktor von 9.000 memcached und 557 für NTP. Es wurde auch die Anzahl der Memcaches geschätzt Dienste im Internet über Port 11211 bei 93.000 verfügbar. Trotz der Verwendung unterschiedlicher Metriken stützen die Zahlen die Behauptung das memcached bietet einen beispiellosen Faktor der Verstärkung und dass es einen großen Pool potenzieller Server gibt, die missbraucht werden können.

Weitere Lektüre

Record-breaking DDoS reportedly delivered by >145k hackedEinige der größten öffentlich bekannten DDoS-Angriffe ereigneten sich in 2016. Im September dieses Jahres wurde KrebsOnSecurity für eingestellt Tage nach Erhalt des Junk-Traffic-Volumens von über 620 Gbit / s. Um Gleichzeitig ist OVH, ein in Frankreich ansässiger Internetanbieter, ein beliebter Host für Gaming-Server, sagte es anhaltende Angriffe zu erreichen 1,1 TBit / s und 901 GBit / s.

Diese Angriffe wurden von einer damals noch relativ jungen Rasse durchgeführt Botnetz aus Hunderttausenden von Routern und anderen sogenannte Internet-of-Things-Geräte. Eine Vielzahl von Faktoren – einschließlich der einfachen Kompromittierung der Geräte, der Schwierigkeit, sie zu sichern, und die bloße Anzahl von ihnen – erlaubt Schurken, die riesige Armeen von DDoS-Bauern anhäufen könnten im Einklang genutzt, um einmal undenkbare Mengen an Müll zu liefern der Verkehr.

Old-School-DDoS

Die Angriffe, mit denen Memcached Server missbraucht werden, gehen auf diesen Monat zurück ältere DDoS-Angriffe, die keine massiven Botnets erfordern. MemcachedServern steht in der Regel viel Bandbreite zur Verfügung. In Kombination mit der 51.000-fachen Verstärkung bieten sie DDoSer benötigen nur eine Handvoll Geräte, um eine anfängliche Nutzlast zu liefern. Das stellt die Technik einer viel größeren Gruppe von Menschen zur Verfügung, anstatt nur die mit Kontrolle über ein großes Botnetz.

“Die möglichen Auswirkungen von memcached auf die Sicherheiten Reflexion / Verstärkung DDoS-Attacken können von hoher Bedeutung sein, wie z Diese Attacken weisen ein hohes Reflexions- / Verstärkungsverhältnis auf und Nutzen Sie Reflektoren / Verstärker der Serverklasse, die in der Regel eingesetzt werden Zugangslinks mit hoher Bandbreite, die sich in Internetdaten befinden Zentren (IDCs) mit Hochgeschwindigkeits-Upstream-Transitverbindungen, “Roland Dobbins, Chefingenieur für Arbors Sicherheitstechnik & Antwortteam, schrieb in den Beitrag vom Dienstag.

Die Angriffe funktionieren, weil eine Vielzahl von Netzwerken verfügbar ist Memcached Server mit dem Internet in ihrer Standardeinstellung ungesichert Aufbau. Generell sollten memcached Systeme sein Erreichbar nur in lokalen Netzwerken und sollte sicher zurückgehalten werden eine Firewall. Bisher gingen die Angriffe von etwas mehr als 5.700 aus eindeutige IP-Adressen, hauptsächlich in Nordamerika und Europa.

EnlargeCloudflare

“Ich vermute, dass die meisten dieser memcached Server nicht sein müssen im öffentlichen Internet “, sagte Graham-Cumming.” Es ist nur eine Fehler. “Er sagte, seine Besorgnis über sich verschlechternde Angriffe werde angeheizt durch die zuvor erwähnte Verfügbarkeit von mehr als 88.000 schlecht gesicherte Memcached Server, gemessen anhand der Shodan-Suche Motor.

EnlargeCloudflare

Um das enorme Angriffspotential der Server zu nutzen, DDoSers senden Sie ihnen eine relativ kleine Anzahl von UDP-basierten Paketen, die haben manipuliert worden, um zu erscheinen, als ob sie von der beabsichtigten gesendet wurden Ziel. Die zwischengespeicherten Server antworten, indem sie das Ziel senden massive Resonanz. Die Anschläge unterstreichen einmal mehr die Öffentlichkeit Ärgernis, das von Dienstanbietern herrührt, die UDP weiterhin zulassen Pakete, die gefälscht werden sollen, um den wahren Absender zu verfälschen.

Cloudflare empfiehlt Netzwerkanbietern, die memcached bereitstellen Server, um die UDP-Unterstützung zu deaktivieren, wenn dies möglich ist. In vielen Fällen, TCP-basierter Verkehr reicht aus. Arbor Networks empfiehlt derweil dass die Netzbetreiber ein situationsgerechtes Netz einrichten Zugriffsrichtlinien am Rand des Internet Data Center (IDC), um Abschirmung zwischengespeicherter Bereitstellungen vor nicht autorisiertem UDP / 11211 und TCP / 11211-Verkehr aus dem öffentlichen Internet. In allen Fällen Server sollte aus dem Internet Firewall werden.

Dieser Beitrag wurde aktualisiert, um den Namen von Imperva zu korrigieren.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: