Európu zasiahol 400 Gbps DDoS útok, pomocou zosilnenia cez NTP

Značky: InternetútokyNTP

DSL.sk, 11.2.2014

Európu v pondelok zasiahol distribuovaný denial-of-service útok, ktorého intenzita dosiahla pravdepodobne 400 Gbps. Útok sa tak radí k najväčším v histórii a s vysokou pravdepodobnosťou mu patrí aj prvenstvo.

Informovala o tom spoločnosť CloudFlare poskytujúca služby ochrany proti DoS útokom.

Útok bol smerovaný na servery zákazníka umiestnené v absolútnej väčšine v Európe, identitu zákazníka spoločnosť nezverejnila.

V niektorých častiach Európy prišlo podľa CloudFlare k zahlteniu liniek a k zvýšenie latencie. Presné dopady spoločnosť ale nekvantifikovala.

Útok využíval techniku zosilnenia pomocou protokolu NTP, Network Time Protocol, určeného pre synchronizáciu času cez Internet.

Takýto útok funguje podobne ako útok zosilnením s využitím DNS. Oba útoky využívajú protokoly postavené na UDP, cez ktoré pošlú požiadavku na DNS respektíve NTP server tretej strany. V požiadavke sfalšujú IP adresu odosielateľa na adresu, na ktorú chcú v skutočnosti útočiť.

DNS respektíve v tomto prípade NTP server následne pošle odpoveď na podstrčenú IP adresu cieľa útoku, čo umožňuje útočníkovi skryť svoju IP adresu a využitím množstvo takýchto serverov sťažiť blokovanie útoku aj pri využívaní iba málo IP adries pre skutočný zdroj útoku.

Navyše útok využíva také požiadavky, odpoveď na ktoré je výrazne väčšia ako samotná požiadavka. To umožňuje zosilniť útok a znásobiť jeho silu v pomere k pásmu, ktoré má útočník pre útok k dispozícii. V prípade aktuálneho útoku pomocou NTP bola využitá požiadavka s príkazom monlist, na ktorú server odpovedá zoznamom posledných najviac 600 IP adries, s ktorými komunikoval.

Podľa informácií CloudFlare môže byť takáto odpoveď v krajných prípadoch až 200-krát dlhšia ako zaslaný paket s požiadavkou a útok je tak možné jednoducho zosilniť až s takýmto faktorom.




Najnovšie články:



Diskusia:

source ip forgery Od: Preklep | Pridané: 11.2.2014 18:25 Kym s tym peeringove centra nieco nespravia, bude to len horsie. Odpovedať Známka: -5.4 Hodnotiť:

Re: source ip forgery Od: apazat | Pridané: 11.2.2014 20:53 co stym maju peeeringove centra??? tie uz vela nezmozu, dolezite je aby poskytovatelia koncovym userom mali antispoofing na firewalloch... 99% su zavirene mrkvosoftove botnety... Odpovedať Známka: 2.9 Hodnotiť:

Re: source ip forgery Od: sadsad | Pridané: 12.2.2014 6:30 len pre tvoju informáciu najväčšií botnet bol z unixových serverov Odpovedať Známka: 0.0 Hodnotiť:

Re: source ip forgery Od: dando1111 | Pridané: 12.2.2014 8:34 aaale tak o tom neviem a ktory botnet to bol? Odpovedať Známka: -2.0 Hodnotiť:

Re: source ip forgery Od reg.: 100k45h | Pridané: 12.2.2014 8:55 no ono to zas tak prekvapive nie je, urcite sa lahsie hladaju chyby v Open Source projekte Odpovedať Známka: -6.5 Hodnotiť:

Re: source ip forgery Od: quix_ | Pridané: 12.2.2014 9:21 Ocenime link na nezavislu studiu potvrdzujucu tvoje tvrdenie. V opacnom pripade si budem nuteny mysliet, ze si hlupy a vymyslas si. Odpovedať Známka: 7.3 Hodnotiť:

Re: source ip forgery Od: mru | Pridané: 12.2.2014 13:17 Härtig, Hermann, Claude-Joachim Hamann, and Michael Roitzsch. "The Mathematics of Obscurity: On the Trustworthiness of Open Source." Workshop on the Economics of Information Security 2010. http://goo.gl/w9dxMV Prinajmensom na zamyslenie. Odpovedať Známka: 4.3 Hodnotiť:

Re: source ip forgery Od: nic v zlom | Pridané: 12.2.2014 14:01 Ano. Na zamyslenie je preco tu spominas toto teoreticke cvicenie a pritom si zatvaras oci pred porovnanim priemernej doby opravy chyb, pocte najzavaznejsich chyb atd atd...Na zamyslenie je, ci je to len nevedomost, alebo si prave v praci a za toto si plateny.... Odpovedať Známka: 6.9 Hodnotiť:

Re: source ip forgery Od: mru | Pridané: 13.2.2014 12:03 To bolo len na zamyslenie, nic viac nic menej, prave preto som sa ju ani nesnazil komentovat. A verte mi v praci som plateny za ine ;). Odpovedať Hodnotiť:

Re: source ip forgery Od: quix_ | Pridané: 12.2.2014 23:19 nuz, odhliadnuc od toho, ze toto teda za dostatocny dokaz nepvazujem. zaraza ma par viet. "We cannot say which of two different projects—independent of open or closed source—is more likely to be exploited.".."The power of the attackers ultimately limits the power of the defenders, so they cannot achieve arbitrary winning chances. The significance even of a small limit is exponentiated by the fact that defenders have to find each error before the attackers." nehovoriac o tom, ze v studii dohady v castiach "Pro closed source" su smiesne :D. Samozrejme som zaujaty. Odpovedať Známka: 10.0 Hodnotiť:

Stary prikaz Od: Houston | Pridané: 11.2.2014 18:30 Nie je MONLIST nahodou uz 'deprecated'? A je vobec v RFC napisane, ze ma na MONLIST odpovedat NTP server komukolvek? Toto fakt netusim. Alebo su to zase len 'zle' nakonfigurovane NTP servery? Odpovedať Známka: 7.6 Hodnotiť:

Re: Stary prikaz Od: Jhjhjjjj | Pridané: 11.2.2014 18:52 Netusis ale v mene vsetkych citatelov ti chcem podakovat za tvoj nazor Odpovedať Známka: 7.5 Hodnotiť:

Re: Stary prikaz Od: PeePay | Pridané: 11.2.2014 18:59 Aj keby to bolo depricated, znamena to len, ze to uz nie je v aktualnej verzii toho protokolu. Servery ale musia podporovat aj starsie verzie, aby vedeli obsluzit aj neaktualizovanych klientov, teda server to v pohode spracuje. Odpovedať Známka: 9.2 Hodnotiť:

Re: Stary prikaz Od: Houston | Pridané: 11.2.2014 20:38 Vsak to je jasne. Tu ale nejde o sync casu. Naco je dobre aby si kazdy mohol zobrazit poslednych niekolko sto IP, s ktorymi NTP komunikoval? Ak ked to nie je na nic dobre, preco je to povolene komukolvek, ked to sto krat zosilnuje DDoS? Respektive: Ma to bezne kazdy NTP alebo len nasli zopar 'open'? Odpovedať Známka: 7.5 Hodnotiť:

Re: Stary prikaz Od: PeePay | Pridané: 11.2.2014 20:58 To je spravna otazka. Neviem presne. Ale znelo by to logicky, aby to nebola bezne dostupna informacia. Odpovedať Známka: 10.0 Hodnotiť:

Re: Stary prikaz Od: zz_indigo | Pridané: 12.2.2014 10:34 monlist sa da vypnut a tento typ utoku je znamy minimalne od januara. https://www.us-cert.gov/ncas/alerts/TA14-013A a ma jednoduche riesenie. vid link Odpovedať Známka: 10.0 Hodnotiť:

Flappy Bird Od: justinka | Pridané: 11.2.2014 18:56 Pre tych ktory chcu original flappy bird: http://dopice.sk/8vi Odpovedať Známka: -8.0 Hodnotiť:

Re: Flappy Bird Od: Dakujem, ale ..... | Pridané: 11.2.2014 19:29 na iOS by nebolo? Odpovedať Známka: -8.3 Hodnotiť:

Európu zasiahol 400 Gbps DDoS útok Od: Src | Pridané: 11.2.2014 18:57 btw ide vam teraz youtube? Odpovedať Známka: -7.5 Hodnotiť:

ide vam Od: knedla | Pridané: 11.2.2014 19:19 ide vam DSL.sk ? Odpovedať Známka: 8.5 Hodnotiť:

Re: ide vam Od: kuuur | Pridané: 11.2.2014 19:21 neviem,pozriem Odpovedať Známka: 10.0 Hodnotiť:

Re: ide vam Od: Effe | Pridané: 11.2.2014 19:32 Ide, ale len čiernobielo a trošku zrní... Odpovedať Známka: 9.6 Hodnotiť:

Re: ide vam Od: Neviem | Pridané: 11.2.2014 19:35 Mne ide ale nedajú sa pridávať príspevky do diskusie. Odpovedať Známka: 9.6 Hodnotiť:

Re: ide vam Od: Atxdfghj | Pridané: 11.2.2014 19:41 Mne nejde, ale zase príspevky do diskusie pridávať môžem... Odpovedať Známka: 9.5 Hodnotiť:

Re: ide vam Od: grrrr | Pridané: 11.2.2014 19:55 Mne ide, ale nevidím diskusiu. Odpovedať Známka: 9.1 Hodnotiť:

Re: ide vam Od reg.: Born To Be Wild | Pridané: 11.2.2014 21:29 Mne ani jedno, ani druhé Odpovedať Známka: 10.0 Hodnotiť:

Re: ide vam Od: lololol | Pridané: 12.2.2014 0:46 mne jedno ano,ale druhe nie Odpovedať Známka: 8.9 Hodnotiť:

Re: ide vam Od: gibax | Pridané: 12.2.2014 1:20 mne všetko ide a sa rehocem akí ste babráci :) Odpovedať Známka: 10.0 Hodnotiť:

Re: ide vam Od: fin1 | Pridané: 12.2.2014 2:14 To len preto ze som ti to zapol Odpovedať Známka: 10.0 Hodnotiť:

Re: ide vam Od: xvzf | Pridané: 12.2.2014 12:33 pockaj, tak ja mu to vypnem... Odpovedať Známka: 6.4 Hodnotiť:

Re: ide vam Od: Archeopteryx | Pridané: 11.2.2014 19:43 Ešte pred chvíľou áno, ale včil už len prešlapuje na mieste. Odpovedať Známka: 9.1 Hodnotiť:

Re: ide vam Od: man144 | Pridané: 11.2.2014 19:59 Mne ide, ale nejako zblbol update.dsl, z ktoreho si pravidelne aktualizujem programy. Ukazuje mi skype 3.0 a operu 9.10. Odpovedať Známka: 9.6 Hodnotiť:

Re: ide vam Od: trollol | Pridané: 12.2.2014 1:42 nahodou to je ficurka, ukazuje programy, ktore este normalne fungovali Odpovedať Známka: 10.0 Hodnotiť:

Re: ide vam Od: asdf223 | Pridané: 12.2.2014 1:48 nepíš prosím ficurka, mi to Roberteka pripomína. Odpovedať Známka: 8.8 Hodnotiť:

Re: ide vam Od reg.: zemon | Pridané: 12.2.2014 13:34 to na DSL.sk ešte niekto chodí? Odpovedať Známka: 0.0 Hodnotiť:

Wieie Od: Nxnxx | Pridané: 11.2.2014 19:44 Peniaze vsadzam na BITCOIN BURZY! Tie su pod utokom Odpovedať Známka: 0.0 Hodnotiť:

utok ? Od: mr.Proper | Pridané: 11.2.2014 19:45 MsDOS utok ? Viliam sa nudi ? Odpovedať Známka: -4.7 Hodnotiť:

Re: utok ? Od reg.: pocitujlasku | Pridané: 11.2.2014 20:03 pan proper ma asi IQ biliardovej gule, nie je DOS, ako DDOS. Odpovedať Známka: 5.2 Hodnotiť:

Re: utok ? Od: mr.Proper | Pridané: 11.2.2014 20:45 S ludmi ako ty musi byt fest sranda .. ako na kare. Odpovedať Známka: 2.4 Hodnotiť:

Re: utok ? Od: ^.^ | Pridané: 11.2.2014 21:34 I put FUN in the FUNERAL :D Odpovedať Známka: 6.5 Hodnotiť:

Re: utok ? Od: yo dawg... | Pridané: 11.2.2014 22:20 http://i.imgur.com/QVAQXbi.png Odpovedať Známka: 3.3 Hodnotiť:

Re: utok ? Od: lol. | Pridané: 12.2.2014 1:22 A ty davas vsetkym dovod na ten kar chodit, nie? :D Odpovedať Známka: 3.3 Hodnotiť:

Zákazník - asi Google Od: fero158 | Pridané: 11.2.2014 19:48 Zaznamenal som nefunkčnosť HTTPS google.com aj .sk v deň, keď logom propagoval homoloby - políčka farby dúhy. Trvalo to pomerne dlho... Ak sa mýlim, opravte ma. Odpovedať Známka: 6.7 Hodnotiť:

Re: Zákazník - asi Google Od reg.: Reaper | Pridané: 11.2.2014 20:00 Dnes(11.2.2014)je deň odplaty proti hromadnému sledovaniu http://dopice.sk/8vo Asi toľko k motívom DDoS útoku. Odpovedať Známka: 6.4 Hodnotiť:

Re: Zákazník - asi Google Od: wtf?! | Pridané: 11.2.2014 20:06 Aky to ma suvis? Hromadne sledovanie robi Americka NSA, ciel utoku v ramci tejto "odplaty" teda lezi v USA, nie v EU ?! Odpovedať Známka: 0.0 Hodnotiť:

Re: Zákazník - asi Google Od reg.: Reaper | Pridané: 11.2.2014 20:13 Slovensko je kolóniou EU,EU je kolóniou USA.V rámci šírenia ideológií mamonu,konzumu,homo-lobby a iných zvrátených spôsobov myslenia prostredníctvom médií,politiky. Odpovedať Známka: 4.3 Hodnotiť:

Re: Zákazník - asi Google Od reg.: Reaper | Pridané: 11.2.2014 20:33 Pobočky majú snáď v každom štáte ktorý je pod vplyvom,kontrolou USA. http://dopice.sk/8vs "Stručne:To,čo je jedinečné,nie je Amerika,ale to,čo je nazývané amerikanizácia." (G.K. Chesterton) http://dopice.sk/8vt Odpovedať Známka: 2.0 Hodnotiť:

Re: Zákazník - asi Google Od: tvojucitelslovenciny | Pridané: 11.2.2014 21:13 Už si počul o čarovnom znaku známom ako medzera? Nech už chceš povedať čokolvek, pokial tomu nedáš patričnú formu, vyzeráš hlúpo. Odpovedať Známka: -0.8 Hodnotiť:

Re: Zákazník - asi Google Od reg.: Reaper | Pridané: 11.2.2014 21:47 Kde som tú medzeru teda podľa teba nesprávne použil/nepoužil? Odpovedať Známka: 0.0 Hodnotiť:

Re: Zákazník - asi Google Od: xyzasd | Pridané: 11.2.2014 22:02 za ciarkami a dvojbodkou Odpovedať Známka: 4.0 Hodnotiť:

Re: Zákazník - asi Google Od reg.: Reaper | Pridané: 11.2.2014 22:16 Pokiaľ mi je známe tak čiarku možno definovať ako pauzu.Keď už nie je čo vytknúť,začnú sa riešiť už aj medzery.Fakt podstatné. Odpovedať Známka: 0.8 Hodnotiť:

Re: Zákazník - asi Google Od reg.: K-NinetyNine | Pridané: 12.2.2014 7:09 Bodka, čiarka, otáznik, výkričník, dvojbodka, bodkočiarka a tri bodky sa píšu bez medzery hneď za slovom. Medzera sa robí až za nimi. Text, vložený do zátvoriek alebo úvodzoviek, sa medzerou od týchto interpunkčných znamienok neoddeľuje. Ak v texte nasledujú dve interpunkčné znamienka po sebe (napr. bodka a čiarka či výkričník a otáznik), medzera medzi ne nepatrí. Odpovedať Známka: 6.7 Hodnotiť:

Re: Zákazník - asi Google Od reg.: Reaper | Pridané: 12.2.2014 8:33 Ďakujem za vysvetlenie, nabudúce sa posnažím byť medzerovo korektnejší. Zapamätaj si len jedno: Obsah je podstatnejší ako forma, lebo forma zakrýva obsah. Odpovedať Známka: 3.3 Hodnotiť:

Re: Zákazník - asi Google Od: 1ka | Pridané: 13.2.2014 11:54 Tebe zakryva mozog.. Ignorovat primarne principy jazyka je ako vyrobit auto len s tromi kolesami - vsak co, odviezt sa na nom da.. Je to len lenivost a pohodlnost.. Odpovedať Hodnotiť:

Re: Zákazník - asi Google Od: Psychiater. | Pridané: 11.2.2014 22:09 Medzery sa dávajú aj za dvojbodku a čiarku, trpíte snáď syndrómom lenivého palca, p. Reaper? Odpovedať Známka: 2.5 Hodnotiť:

Re: Zákazník - asi Google Od reg.: Reaper | Pridané: 11.2.2014 22:35 Mám tu niečo aj pre teba,pán psychiater. http://dopice.sk/8vy Odpovedať Známka: -3.3 Hodnotiť:

ja viem ja viem Od reg.: Ironman | Pridané: 11.2.2014 19:49 utok na bitstamp.net Odpovedať Známka: 3.3 Hodnotiť:

Re: ja viem ja viem Od: qqqqqqqqqqqqqqqqqqqqqq | Pridané: 11.2.2014 20:04 Ano, vyzera to na Bitstamp.net. http://dopice.sk/8vp Odpovedať Hodnotiť:

DDOSs Od: dds | Pridané: 11.2.2014 19:50 Pokial sa nemylim 400 GB/s je asi 3.2 TB/s a to je na Europu vela? :) neviem si to totiz predstavit... Odpovedať Známka: -8.8 Hodnotiť:

Re: DDOSs Od: ... | Pridané: 11.2.2014 20:01 V clanku sa pise o 400 Gbps, 400 Gb/s = 0.4 Tb/s. Odpovedať Známka: 10.0 Hodnotiť:

Re: DDOSs Od: jjjjjjjj | Pridané: 11.2.2014 20:32 inzinier z bulharska prepocital Tb na TB vynasobenim bulharskou konstanou. Odpovedať Známka: 8.1 Hodnotiť:

Re: DDOSs Od: ddds | Pridané: 11.2.2014 20:39 co to meni na tom, ze to je malo ? Odpovedať Známka: -8.0 Hodnotiť:

vaše skúsenosti? Od: sensei-san | Pridané: 11.2.2014 20:08 Dnes som riešil prečo máme zrazu pomalé ADSL pripojenie vo firme. Ukázalo sa, že dostávame desiatky až stovky NTP UDP pkt/s. Náš router také príchodzie pakety zahadzuje a sám žiadne von nepúšťa. Neviem posúdiť, či to skutočne možno považovať za DDoS (lebo objem dát vysoký nie je) na IP adresu inak nezaujímavej firmičky, ale faktom je, že pakety prichádzajú a prichádzajú. Naším ISP je T-Com. Supporťáčka č.1 pomerne rýchlo usúdila, že ma treba prepnúť na niekoho iného. Technikovi č.2 som márne vysvetľoval, že T-com routuje ku mne premávku, ktorú nechceme. Odpovedať Známka: 10.0 Hodnotiť:

Re: vaše skúsenosti? Od: sensei-san | Pridané: 11.2.2014 20:08 Pokračovanie: Navrhoval reštartnúť router, urobiť kontrolu antivírom, kontaktovať útočníka, ktorý sa k nám skúša prihlásiť (prihlásiť??) až nakoniec odporučil nájsť podľa whois vlastníka IP bloku (vraj "napr. Slovanet") a sťažovať as u neho. To že IP adries sú desiatky a sú od Francúzska, cez Turecko až po Brazíliu nejak nebral do úvahy. Podľa mňa by niekto na úrovni T-comu mal vedieť (mať na to znalosti a technické možnosti) odfiltrovať nežiadanú premávku, ktorá k nám tečie. Bez NTP sa kľudne mesiac obídeme. Takže moja otázka pre vás je: 1. máte zvýšenú premávku na UDP, port 123? 2. máte recept, ako na takého ISP? Odpovedať Známka: 10.0 Hodnotiť:

Re: vaše skúsenosti? Od: hmm | Pridané: 11.2.2014 20:18 Kontaktovat ISP samozrejme vyznam nema, ak je to cieleny utok, zrejme ide o sfalsovane IP adresy, takze realny traffic nejde od nich a tak ti ani nepomoze ich kontaktovat. Tieto utoky su efektivne hlavne preto lebo sa proti nim neda velmi branit. Niesom expert v danej oblasti, ale ked pises ze router tie pakety zahadzuje, snad je to to najlepsie co v danej chvili moze byt, treba skontrolovat parametre firewallu, ak sa port nemeni, skus ho blokovat. Odpovedať Známka: 10.0 Hodnotiť:

Re: vaše skúsenosti? Od: sensei-san | Pridané: 11.2.2014 20:25 Náš router pakety tie pakety zahadzuje, ale až po tom, ako po tej ADSL linke od T-comu k nám už prišli. A tým pádom tú linku zahltili. Efektívne by bolo, keby ich zahodil už T-com a na tú ADSL linku k nám by ich vôbec neposlal. Odpovedať Známka: 10.0 Hodnotiť:

Re: vaše skúsenosti? Od: Fresco | Pridané: 11.2.2014 21:44 pekne si nám objasnil situáciu na routri vo vašej firme, my ťa za to pasujeme na "O sensei", čo ty na to? Odpovedať Známka: -6.7 Hodnotiť:

Re: vaše skúsenosti? Od: aso | Pridané: 12.2.2014 0:30 Fresco chalan ty si daj facku kolecko okolo domu studenu sprchu a znova facku lebo to co si napisal vyfajcilo trapnost a omrdala nuda Odpovedať Známka: 6.5 Hodnotiť:

ty somár, hovno si pochopil Od: Fresco | Pridané: 12.2.2014 11:51 som mu pekne podakoval a idiotovi ako tebe dajú +10.... Odpovedať Známka: 3.3 Hodnotiť:

Re: vaše skúsenosti? Od: 1ka | Pridané: 13.2.2014 11:57 Vsetko sa da, staci vsetko vypnut a odpojit od elektriny :P Odpovedať Hodnotiť:

Re: vaše skúsenosti? Od: rommi | Pridané: 11.2.2014 22:49 no to je silne diskutabilne - existuje take nieco ako sietova neutralita - po slovensky operator nema pravo blokovat akukolvek sluzbu len preto ze sa tak rozhodne....aj ked v sucasnom svete to ide cele dokytek.... Odpovedať Známka: 10.0 Hodnotiť:

Re: vaše skúsenosti? Od: aso | Pridané: 12.2.2014 0:33 no neutralita ano ale ked o to zakaznik poziada tak je to rozkaz ... inak uz som sa stretol aj s tym ze telekom zablokoval na dsl-ku 25 port lebo na sieti bol mail bomber Odpovedať Známka: 10.0 Hodnotiť:

Pošli papier Od: prdlajs | Pridané: 12.2.2014 6:30 A moj zachod dnes rano prave zasiahol biologicky utok najvyssieho stupna. Zosilneny pomocou mekaca zo vcera. Velkost prietoku som nezmeral. Odpovedať Známka: -2.9 Hodnotiť:

rerere Od: Andrejjj | Pridané: 12.2.2014 13:38 Podla toho, ako ide web O2, tak utocia zrejme na nich... Odpovedať Hodnotiť:

Re: rerere Od: iOfca z BA | Pridané: 12.2.2014 14:59 Keďže to je štandardná rýchlosť O2 internetu, útok určite nie je smerovaný na nich :P Odpovedať Hodnotiť:

Fappy Bird Od: azaz | Pridané: 12.2.2014 14:05 http://dopice.sk/8vO Odpovedať Známka: -10.0 Hodnotiť:

Pridať komentár