Компания Cloudflare разгласила [Только зарегистрированные могут видеть это. ] крупнейшей DDoS-атаки с NTP-усилением, о которой [Только зарегистрированные могут видеть это. ].

Специалисты говорят, что они и раньше видели DDoS-атаки на 400 Гбит/с, но впервые такая атака использует метод усиления UDP-трафика именно через серверы сетевого времени NTP. Это новая угроза для сети, считает Cloudflare.

В атаке 10 февраля 2014 года приняли участие 4529 серверов NTP из 1298 разных сетей. В среднем, каждый из этих серверов в пиковый час генерировал 87 Мбит/с трафика на конкретную жертву. Cloudflare допускает, что злоумышленник контролирует так много ботов, что в каждой сети со своим NTP-сервером он мог отправлять к серверу внутрисетевые запросы.

Хотя NTP-серверы с поддержкой MONLIST не так популярны, как DNS-резолверы, зато обычно подключены к интернету по более широким каналам связи, к тому же допускают умножение запросов с более высоким множителем, чем DNS-резолверы. Для сравнения, во время атаки на Spamhaus трафик 300 Гбит/с был сгенерирован с помощью 30 956 открытых DNS-резолверов.

На карте показано местонахождение NTP-серверов, которые приняли участие в DDoS-атаке 10 февраля.

[Только зарегистрированные могут видеть это. ]

DDoS-трафик поразил абсолютно все дата-центры Cloudflare. Атака оказалась настолько мощной, что возникли заторы в некоторых фрагментах сетевой инфраструктуры Европы.

В следующем списке перечислены 24 сети с максимальным числом уязвимых NTP-серверов, указан ASN и количество серверов.
Код:
 9808 CMNET-GD Guangdong Mobile Communication Co.Ltd. — 136 4134 CHINANET-BACKBONE — 116
16276 OVH OVH Systems — 114
 4837 CHINA169-BACKBONE CNCGROUP — 81
 3320 DTAG Deutsche Telekom AG — 69
39116 TELEHOUSE Telehouse Inter. Corp. of Europe Ltd — 61
10796 SCRR-10796 - Time Warner Cable Internet LLC — 53
 6830 LGI-UPC Liberty Global Operations B.V. — 48
 6663 TTI-NET Euroweb Romania SA — 46
 9198 KAZTELECOM-AS JSC Kazakhtelecom — 45
 2497 IIJ Internet Initiative Japan Inc. — 39
 3269 ASN-IBSNAZ Telecom Italia S.p.a. — 39
 9371 SAKURA-C SAKURA Internet Inc. — 39
12322 PROXAD Free SAS — 37
20057 AT&T Wireless Service — 37
30811 EPiServer AB — 36
  137 ASGARR GARR Italian academic and research network — 34
  209 ASN-QWEST-US NOVARTIS-DMZ-US — 33
 6315 XMISSION - XMission, L.C. — 33
52967 NT Brasil Tecnologia Ltda. ME — 32
 4713 OCN NTT Communications Corporation — 31
56041 CMNET-ZHEJIANG-AP China Mobile — 31
 1659 ERX-TANET-ASN1 Tiawan Academic Network Information Center — 30
 4538 ERX-CERNET-BKB China Education and Research Network Center — 30
На этот раз Cloudflare не публикует полный список с указанием их IP-адресов, чтобы информацией не воспользовались другие злоумышленники. Но вот [Только зарегистрированные могут видеть это. ], в которых есть такие NTP-серверы.

Найти уязвимые серверы в своей сети можно с помощью сканера [Только зарегистрированные могут видеть это. ].
Эксперты Cloudflare предполагают, что это еще не вечер. SNMP позволяет умножать трафик вовсе в 650 раз! Говорят, что кое-кто уже начал экспериментировать в этом направлении.


xakep.ru