![38b404bc851c2a6869734ad63675c3c1[1]](http://pro.runovikov.ru/wp-content/uploads/2014/04/38b404bc851c2a6869734ad63675c3c11.jpg)
Компания Cloudflare разгласила технические детали крупнейшей DDoS-атаки с NTP-усилением
Специалисты говорят, что они и раньше видели DDoS-атаки на 400 Гбит/с, но впервые такая атака использует метод усиления UDP-трафика именно через серверы сетевого времени NTP. Это новая угроза для сети, считает Cloudflare.
В атаке 10 февраля 2014 года приняли участие 4529 серверов NTP из 1298 разных сетей. В среднем, каждый из этих серверов в пиковый час генерировал 87 Мбит/с трафика на конкретную жертву. Cloudflare допускает, что злоумышленник контролирует так много ботов, что в каждой сети со своим NTP-сервером он мог отправлять к серверу внутрисетевые запросы.
Хотя NTP-серверы с поддержкой MONLIST не так популярны, как DNS-резолверы, зато обычно подключены к интернету по более широким каналам связи, к тому же допускают умножение запросов с более высоким множителем, чем DNS-резолверы. Для сравнения, во время атаки на Spamhaus трафик 300 Гбит/с был сгенерирован с помощью 30 956 открытых DNS-резолверов.
DDoS-трафик поразил абсолютно все дата-центры Cloudflare. Атака оказалась настолько мощной, что возникли заторы в некоторых фрагментах сетевой инфраструктуры Европы.
В следующем списке перечислены 24 сети с максимальным числом уязвимых NTP-серверов, указан ASN и количество серверов.
9808 CMNET-GD Guangdong Mobile Communication Co.Ltd. — 136 4134 CHINANET-BACKBONE — 116 16276 OVH OVH Systems — 114 4837 CHINA169-BACKBONE CNCGROUP — 81 3320 DTAG Deutsche Telekom AG — 69 39116 TELEHOUSE Telehouse Inter. Corp. of Europe Ltd — 61 10796 SCRR-10796 - Time Warner Cable Internet LLC — 53 6830 LGI-UPC Liberty Global Operations B.V. — 48 6663 TTI-NET Euroweb Romania SA — 46 9198 KAZTELECOM-AS JSC Kazakhtelecom — 45 2497 IIJ Internet Initiative Japan Inc. — 39 3269 ASN-IBSNAZ Telecom Italia S.p.a. — 39 9371 SAKURA-C SAKURA Internet Inc. — 39 12322 PROXAD Free SAS — 37 20057 AT&T Wireless Service — 37 30811 EPiServer AB — 36 137 ASGARR GARR Italian academic and research network — 34 209 ASN-QWEST-US NOVARTIS-DMZ-US — 33 6315 XMISSION - XMission, L.C. — 33 52967 NT Brasil Tecnologia Ltda. ME — 32 4713 OCN NTT Communications Corporation — 31 56041 CMNET-ZHEJIANG-AP China Mobile — 31 1659 ERX-TANET-ASN1 Tiawan Academic Network Information Center — 30 4538 ERX-CERNET-BKB China Education and Research Network Center — 30
На этот раз Cloudflare не публикует полный список с указанием их IP-адресов, чтобы информацией не воспользовались другие злоумышленники. Но вотполный список сетей, в которых есть такие NTP-серверы.
Найти уязвимые серверы в своей сети можно с помощью сканера Open NTP.
Эксперты Cloudflare предполагают, что это еще не вечер. SNMP позволяет умножать трафик вовсе в 650 раз! Говорят, что кое-кто уже начал экспериментировать в этом направлении.