Рекомендуем, 2019

Выбор редакции

Атакующие все чаще злоупотребляют небезопасными маршрутизаторами и другими домашними устройствами для атак DDoS

Атакующие используют преимущества домашних маршрутизаторов и других устройств, которые отвечают на запросы UPnP (Universal Plug and Play) через Интернет, чтобы усилить распределенные атаки типа «отказ в обслуживании».

Отчет, выпущенный во вторник провайдером облачных услуг Akamai Technologies, показывает, что число атак DDoS растет. В течение второго квартала 2015 года он увеличился на 7 процентов по сравнению с предыдущими тремя месяцами и на 132 процента по сравнению с аналогичным периодом прошлого года, свидетельствуют данные компании.

В целом, атакующие начали менее мощные атаки, но их продолжительность была более продолжительной , Несмотря на это, компания обнаружила 12 атак, которые превысили 100 Гбит / с во втором квартале и пять, достигшие пика более 50 миллионов пакетов в секунду.

Очень немногие организации имеют инфраструктуру, необходимую для борьбы с такими атаками самостоятельно. Компания сообщила, что самая большая из них, зарегистрированная во втором квартале по сети Prolexic Routed от Akamai, достигла максимума 214 Мп / с и способна разрушить маршрутизаторы высокого класса, используемые интернет-провайдерами.

Наводнения SYN и простое обнаружение протокола SSD используются популярные DDoS-векторы, на которые приходится 16 процентов и 15,8 процента атак соответственно.

DDoS-отражение - это метод, когда злоумышленники отправляют запросы с поддельным адресом IP-адреса (интернет-протокола) на сторонние компьютеры, заставляя их отправлять ответы на этот адрес вместо исходного отправителя. Поддельный IP-адрес принадлежит предполагаемой жертве.

Если исходные пакеты меньше, чем сгенерированные ответы, этот метод также имеет эффект усиления, поскольку он позволяет злоумышленникам генерировать больше трафика, чем их доступная полоса пропускания, как правило, позволяет, отражая это через другие компьютеры.

Коэффициент усиления зависит от используемого протокола. В последние годы серверы уязвимых доменных имен (DNS) и серверов сетевого протокола (NTP) неоднократно подвергались злоупотреблениям для создания больших DDoS-атак.

Атакующие начали использовать SSDP для DDoS-отражения и усиления в последнем квартале 2014 года и с тех пор стали один из их любимых методов. Несмотря на то, что протокол имеет более низкий коэффициент усиления, чем DNS или NTP, он имеет одно важное преимущество: он используется миллионами уязвимых устройств, распространенных по всему миру, которые вряд ли будут исправлены.

SSDP является частью Universal Plug and Play (UPnP), который позволяет устройствам обнаруживать друг друга и устанавливать функциональные службы без ручной настройки.

Протокол предназначен для использования в небольших домашних и бизнес-сетях, но существует очень большое количество маршрутизаторов и других устройств которые настроены на ответ на запросы SSDP через Интернет, что делает их потенциальными отражателями DDoS.

В соответствии с Shadowserver Foundation, добровольной организацией, которая продвигает интернет-безопасность, в настоящее время в Интернете насчитывается около 12 миллионов IP-адресов, имеющих открытую SSDP.

Вектор отражения SSDP не подвергался тому же типу усилий по очистке, что и NTP и DNS, поскольку большинство эксплуатируемых устройств являются потребительскими а не серверы, говорят исследователи Akamai в отчете.

Их владельцы обычно являются домашними пользователями, которые вряд ли поймут, что их устройства участвуют в атаках, сказали они. «Даже если они заметят медленность в своих сетях, они могут не иметь опыта для устранения неполадок, смягчения или обнаружения причины».

Top