Kalifornie Ministerstvo vodních zdrojů
Nová technika, která zneužívá špatně zabezpečené servery, je hnací silou rekordní útoky odmítnutí služby, spolu s poznámkami požadovat cíle zaplatit statné výkupné za vysilující povodeň nezdravého provozu k zastavení.
Další čtení
In-the-wild DDoSes používají nový způsob, jak dosáhnout nemyslitelných velikostí jako Ars hlášeno minulý týden, memcached, systém ukládání do mezipaměti databáze urychlení webových stránek a sítí, umožňuje vandalům DDoS jejich zesílení útoky bezprecedentním faktorem 51 000. To znamená jeden domácí počítač s kapacitou nahrávání 100 megabitů za sekundu jeho ISP je schopen bombardovat cíl jednou jednou nepředstavitelnou 5 terabitsper sekundy provozu, alespoň teoreticky.
Po objevu, že vandaly DDoS v přírodě byly zneužívání otevřených serverů s memcached, vědci minulý týden předpovídali a nové kolo rekordních útoků. O dva dny později, DDoS zmírnění služba Akamai / Prolexic ohlásila útok 1.3Tbps proti Githubu, jen mírně doplňující předchozí záznamy nastavené v 2016.
V pondělí vědci ze samostatné služby pro zmírnění DDoS, Arbor Networks, ohlásil DDoS 1,7Tbps, který se také spoléhá na nově zdokumentovaná metoda amplifikace memcached. Útok zacílili na nejmenovaného zákazníka poskytovatele služeb v USA. Přestože je DDoS největším hlášeným záznamem, zákazník a ISP se údajně nepohnul.
„Je to důkaz obranných schopností této služby poskytovatel měl na místě bránit se proti útoku této povahy že kvůli tomu nebyly hlášeny žádné výpadky, “napsal Carlos Morales, který je viceprezidentem pro globální prodejní inženýrství a operace v Arbor.
Splatit, nebo jinak
Výzkumníci také uvádějí, že mnoho z potenciálně paralyzující útoky jsou pravděpodobně doprovázeny výkupným aby se datová záplava zastavila. Cyril Vallicari, an R&Dinženýr v bezpečnostní firmě HTTPCS, řekl otevřené memcached servery obsahují mezipaměť, která přijímá vstup od kohokoli. Některé z útočníci, kteří zneužívají servery k poskytování DDoSes, jsou včetně slov „Zaplať 50 XMR“ spolu s adresou a peněženka. Jak ukazuje obrázek níže, zpráva je znovu a znovu v užitečném zatížení dodaném k cílům v pokusit se vyčerpat šířku pásma sítě, kterou mají k dispozici. Na současné ceny digitální měny známé jako Monero, 50 XMR je v hodnotě asi 18 415 $. Mluvčí Akamai řekl 1,3Tbps útok, který cílil Github minulý týden, zahrnoval stejné nebo a podobná výkupná poptávka.
ZvětšitCyril Vallicari, HTTPCS
Zatímco většina z útoků s povoleným memcached vidět ve volné přírodě zahrnují odpovědi, které jsou asi 10 000krát větší než jejich původní svazek, John Graham-Cumming, CTO pro doručování obsahu sítě Cloudflare, řekl Ars, že viděl jeden útok s faktor zesílení 51 000. Skutečně dodané objemy k cíli závisí na šířce pásma dostupné pro servery zneužívání a to může omezit velikosti DDoS, které se na to spoléhají technika.
Existuje několik dobrých důvodů, proč by cíle neměly platit výkupné. Klíč mezi nimi, zatím: všechny nahlášené požadavky používají stejná adresa peněženky. To by pro DDoSers ztěžovalo sledovat, které cíle zaplatily a které cíle odmítly. S žádný snadný mechanismus sledování, je nepravděpodobné, že by útočníci měli automatizovaný způsob, jak zastavit útoky proti cílům, kteří platí. Kromě že platící útočníci pouze podporují nezákonnější chování v EU budoucnost. Platba za služby snižování DDoS má větší smysl cíle.
Flouting best practices
Nová technika amplifikace je umožněna floutingem nejméně dvou osvědčených postupů. První je síťová služba poskytovatelé, kteří stále dovolují kované pakety UDP procházet jejich sítě. Druhým viníkem jsou memcached servery, které jsou vystaveny na internet. Útoky fungují zasláním dotazu na otevřené memcached server. Dotazy jsou manipulovány tak, aby se objevily jako by vznikl s zamýšleným cílem DDoS. Poslední za týden vědci odhadovali, že jich bylo asi 93 000 servery, které nesprávně přijaly vstup od kohokoli na internetu Internet.
Pokud poskytovatelé všude nasazují opatření, která zabraňují spoofed Provoz UDP ve svých sítích a vypnout všechny veřejně dostupné memcached servery, které hostovali, nová technika zesílení již nebude k dispozici. Nové DDoS s nastavením záznamů bylo hlášeno Pondělí ukazuje, že značný počet poskytovatelů dosud přijmout tato opatření pro zdravý rozum.
Příspěvek byl aktualizován, aby se ve druhém výpočet korigoval šířka pásma odstavec.
