38b404bc851c2a6869734ad63675c3c1[1]Компания Cloudflare разгласила технические детали крупнейшей DDoS-атаки с NTP-усилением

Специалисты говорят, что они и раньше видели DDoS-атаки на 400 Гбит/с, но впервые такая атака использует метод усиления UDP-трафика именно через серверы сетевого времени NTP. Это новая угроза для сети, считает Cloudflare.

В атаке 10 февраля 2014 года приняли участие 4529 серверов NTP из 1298 разных сетей. В среднем, каждый из этих серверов в пиковый час генерировал 87 Мбит/с трафика на конкретную жертву. Cloudflare допускает, что злоумышленник контролирует так много ботов, что в каждой сети со своим NTP-сервером он мог отправлять к серверу внутрисетевые запросы.

Хотя NTP-серверы с поддержкой MONLIST не так популярны, как DNS-резолверы, зато обычно подключены к интернету по более широким каналам связи, к тому же допускают умножение запросов с более высоким множителем, чем DNS-резолверы. Для сравнения, во время атаки на Spamhaus трафик 300 Гбит/с был сгенерирован с помощью 30 956 открытых DNS-резолверов.

DDoS-трафик поразил абсолютно все дата-центры Cloudflare. Атака оказалась настолько мощной, что возникли заторы в некоторых фрагментах сетевой инфраструктуры Европы.

В следующем списке перечислены 24 сети с максимальным числом уязвимых NTP-серверов, указан ASN и количество серверов.

 9808 CMNET-GD Guangdong Mobile Communication Co.Ltd. — 136
 4134 CHINANET-BACKBONE — 116
16276 OVH OVH Systems — 114
 4837 CHINA169-BACKBONE CNCGROUP — 81
 3320 DTAG Deutsche Telekom AG — 69
39116 TELEHOUSE Telehouse Inter. Corp. of Europe Ltd — 61
10796 SCRR-10796 - Time Warner Cable Internet LLC — 53
 6830 LGI-UPC Liberty Global Operations B.V. — 48
 6663 TTI-NET Euroweb Romania SA — 46
 9198 KAZTELECOM-AS JSC Kazakhtelecom — 45
 2497 IIJ Internet Initiative Japan Inc. — 39
 3269 ASN-IBSNAZ Telecom Italia S.p.a. — 39
 9371 SAKURA-C SAKURA Internet Inc. — 39
12322 PROXAD Free SAS — 37
20057 AT&T Wireless Service — 37
30811 EPiServer AB — 36
  137 ASGARR GARR Italian academic and research network — 34
  209 ASN-QWEST-US NOVARTIS-DMZ-US — 33
 6315 XMISSION - XMission, L.C. — 33
52967 NT Brasil Tecnologia Ltda. ME — 32
 4713 OCN NTT Communications Corporation — 31
56041 CMNET-ZHEJIANG-AP China Mobile — 31
 1659 ERX-TANET-ASN1 Tiawan Academic Network Information Center — 30
 4538 ERX-CERNET-BKB China Education and Research Network Center — 30

На этот раз Cloudflare не публикует полный список с указанием их IP-адресов, чтобы информацией не воспользовались другие злоумышленники. Но вотполный список сетей, в которых есть такие NTP-серверы.

Найти уязвимые серверы в своей сети можно с помощью сканера Open NTP.

Эксперты Cloudflare предполагают, что это еще не вечер. SNMP позволяет умножать трафик вовсе в 650 раз! Говорят, что кое-кто уже начал экспериментировать в этом направлении.

By Ruslan Novikov

Интернет-предприниматель. Фулстек разработчик. Маркетолог. Наставник.