Różności i nowinki technologia

Główni DDoSerzy nadużywają serwerów D / TLS, aby zwiększyć siłę ataków

Stylizowana ilustracja postaci z kapturem na laptopie.

Przestępcy zwiększają potencjał rozproszonych ataków typu „odmowa usługi” za pomocą techniki, która nadużywa powszechnie używanego protokołu internetowego, co drastycznie zwiększa ilość ruchu śmieciowego kierowanego na docelowe serwery.

DDoSes to ataki, w wyniku których witryna lub serwer jest zalewany większą ilością danych, niż może obsłużyć. Rezultatem jest odmowa usługi dla osób próbujących połączyć się z usługą. Ponieważ usługi łagodzenia skutków DDoS opracowują zabezpieczenia, które pozwalają celom wytrzymać coraz większe potoki ruchu, przestępcy reagują nowymi sposobami maksymalnego wykorzystania ograniczonej przepustowości.

Wzmocnienie

W tak zwanych atakach amplifikacyjnych DDoSery wysyłają żądania o stosunkowo niewielkich rozmiarach danych do określonych typów serwerów pośredniczących. Pośrednicy wysyłają następnie odpowiedzi na cele, które są dziesiątki, setki lub tysiące razy większe. Przekierowanie działa, ponieważ żądania zastępują adres IP atakującego adresem docelowego serwera.

Inne dobrze znane wektory amplifikacji obejmują system pamięci podręcznej bazy danych memcached o zdumiewającym współczynniku wzmocnienia wynoszącym 51 000, Network Time Protocol o współczynniku 58 i źle skonfigurowane serwery DNS o współczynniku 50.

Dostawca łagodzenia skutków DDoS, Netscout, powiedział w środę, że zaobserwował, że usługi DDoS do wynajęcia przyjmują nowy wektor wzmocnienia. Wektorem jest Datagram Transport Layer Security lub D / TLS, który (jak sama nazwa wskazuje) jest w istocie Transport Layer Security dla pakietów danych UDP. Tak jak TLS zapobiega podsłuchiwaniu, fałszowaniu lub fałszowaniu pakietów TLS, D / TLS robi to samo dla danych UDP.

Ataki DDoS, które wykorzystują D / TLS, pozwalają atakującym na zwiększenie ataków 37-krotnie. Wcześniej Netscout widział tylko zaawansowanych atakujących wykorzystujących dedykowaną infrastrukturę DDoS nadużywających wektor. Teraz tak zwane usługi wspomagające i stresorowe – które wykorzystują towarowy sprzęt do przeprowadzania ataków na zlecenie – przyjęły tę technikę. Firma zidentyfikowała prawie 4300 publicznie dostępnych serwerów D / LTS, które są podatne na nadużycia.

Największe ataki oparte na D / TLS, które zaobserwował Netscout, dostarczyły około 45 Gb / s ruchu. Osoby odpowiedzialne za atak połączyły go z innymi wektorami amplifikacji, aby uzyskać łączny rozmiar około 207 Gb / s.

Wykwalifikowani napastnicy z własną infrastrukturą ataku zazwyczaj odkrywają, ponownie odkrywają lub ulepszają wektory wzmocnienia, a następnie wykorzystują je przeciwko określonym celom. W końcu słowo przedostanie się do podziemia za pośrednictwem forów poświęconych nowej technice. Następnie usługi bootera / stresora przeprowadzają badania i inżynierię wsteczną, aby dodać je do swojego repertuaru.

Trudne do złagodzenia

Obserwowany atak „składa się z dwóch lub więcej pojedynczych wektorów, zaaranżowanych w taki sposób, że cel jest uderzany przez te wektory jednocześnie” – napisali w e-mailu kierownik ds. Wywiadu zagrożeń w firmie Netscout Richard Hummel i główny inżynier firmy Ronald Dobbins. „Te wielowektorowe ataki są internetowym odpowiednikiem ataku połączonych broni, a chodzi o to, aby zarówno przytłoczyć obrońców zarówno pod względem wielkości ataku, jak i przedstawić trudniejszy scenariusz łagodzenia skutków.”

4300 serwerów D / TLS, których można nadużywać, jest wynikiem błędnej konfiguracji lub przestarzałego oprogramowania, które powoduje wyłączenie mechanizmu zapobiegającego podszywaniu się. Chociaż mechanizm jest wbudowany w specyfikację D / TLS, sprzęt, w tym Citrix Netscaller Application Delivery Controller, nie zawsze włączał go domyślnie. Niedawno Citrix zachęcał klientów do aktualizacji oprogramowania do wersji, która domyślnie używa ochrony przed spoofingiem.

Oprócz stwarzania zagrożenia dla urządzeń w całym Internecie, nadużywane serwery D / TLS również narażają organizacje korzystające z nich na ryzyko. Ataki, które odbijają ruch od jednej z tych maszyn, mogą spowodować całkowite lub częściowe przerwanie krytycznych dla misji usług dostępu zdalnego w sieci organizacji. Ataki mogą również powodować inne zakłócenia usługi.

Hummel i Dobbins z firmy Netscout powiedzieli, że ataki mogą być trudne do złagodzenia, ponieważ rozmiar ładunku w żądaniu D / TLS jest zbyt duży, aby zmieścić się w pojedynczym pakiecie UDP i dlatego jest dzielony na początkowy i nie-początkowy strumień pakietów.

„Kiedy duże pakiety UDP są pofragmentowane, początkowe fragmenty zawierają numery portów źródłowych i docelowych” – napisali. „Nie-początkowe fragmenty tego nie robią; tak więc podczas łagodzenia wektora odbicia / wzmocnienia UDP, który składa się z pofragmentowanych pakietów, takich jak odbicie / wzmocnienie DNS lub CLDAP, obrońcy powinni upewnić się, że stosowane przez nich techniki łagodzenia mogą odfiltrować zarówno początkowe, jak i nie-początkowe fragmenty ruchu związanego z atakiem DDoS w pytaniu, bez podkręcania legalnych nie-początkowych fragmentów UDP ”.

Netscout ma tutaj dodatkowe zalecenia.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook