DDoS útoky začali využívať zosilnenie pomocou SNMP

Značky: InternetútokySNMP

DSL.sk, 26.5.2014

Útočníci využívajúci DDoS, distribuované denial-of-service, útoky začali v posledných týždňoch bežnejšie používať nový typ útoku využívajúci na zosilnenie protokol SNMP, Simple Network Management Protocol.

Upozornila na to bezpečnostná spoločnosť Prolexic.

Cieľom DDoS útokov, typicky používaných konkurenciou alebo za účelom vydierania, je odstaviť cieľové stránky alebo iné služby buď preťažením serverov alebo liniek pripájajúcich servery množstvom zasielaných paketov.

Priame DDoS útoky vyžadujú rozsiahlu sieť útočiacich typicky infikovaných zariadení, v opačnom prípade útoky nemajú dostatočnú silu prípadne ich je možné relatívne jednoducho odfiltrovať. DDoS útoky posledných rokov preto bežne využívajú zosilnenie pomocou iných internetových zariadení.

Princípom takýchto útokov je zaslať dotaz niektorým z internetových protokolov postavených nad UDP na legitímne iné zariadenie na Internete so sfalšovanou zdrojovou adresou nastavenou na zamýšľaný cieľ útoku. Vyberané sú také protokoly a také ich parametre, pri ktorých je odpoveď mnohonásobne väčšia ako dotaz. Legitímne zariadenie vďaka sfalšovaniu zdrojovej adresy zašle odpoveď na cieľ útoku, pričom znásobuje sieťovú kapacitu dostupnú útočníkom a zároveň skrýva skutočné zdroje útokov.

Bežným typom zosilneného DDoS útoku je zosilnenie pomocou DNS, v poslednej dobe je bežné aj zosilnenie pomocou NTP. Aktuálne útoky využívajú protokol SNMP, ktorý slúži na zasielanie informácií o zariadeniach.

Útočníci na zosilnenie využívajú internetové zariadenia podporujúce SNMP v2, pri ktorom štandardne zariadenia poskytujú informácie aj bez autentifikácie. Pri zaznamenaných útokoch boli využívané routery, tlačiarne, káblové modemy ale aj desktopy a servery.

Útočníci použili SNMP dotaz GetBulk, ktorým si vyžiadali odpoveď obsahujúcu maximálne 2250 SNMP položiek. V prípade niektorých zariadení to viedlo k až 1700-násobnému zosilneniu, keď dotaz má 45 bajtov a odpoveď môže mať desiatky KB.

Útoky boli smerované na webové služby a útočníci ako zdrojový port, na ktorý zosilňujúce zariadenia poslali odpoveď, nastavovali port 80. Odštartovali 11. apríla, kedy mali intenzitu 90 Gbps. IP adresy zariadení používaných na zosilňovanie sa postupne dostali podľa Prolexic ale na rozličné blacklisty a intenzita útokov sa v nasledujúcich dňoch znížila.




Najnovšie články:



Diskusia:

Ako toto? Od: lololololo | Pridané: 26.5.2014 12:20 Ako to mozu posielat na TCP port 80 ked SNMP je UDP? ten zaver sa mi nejako nezda... Odpovedať Známka: 5.6 Hodnotiť:

Re: Ako toto? Od: lama98464 | Pridané: 26.5.2014 12:27 Lebo si k@k@t neznaly problematiky... SNMP je aj TCP. Verzia 2. Odpovedať Známka: -8.3 Hodnotiť:

Re: Ako toto? Od: dusanko mrkvicka | Pridané: 26.5.2014 13:10 slusne sa opytal, tak mu laskavo slusne odpovedaj Odpovedať Známka: 9.1 Hodnotiť:

Re: Ako toto? Od: hustyy | Pridané: 26.5.2014 13:16 chlapci nebudte husty ja posielam emaily po holubovi odozva 3 dni , prileti aj naspat takze TCP Odpovedať Známka: 3.5 Hodnotiť:

Re: Ako toto? Od reg.: julus | Pridané: 26.5.2014 13:43 en.wikipedia.org/wiki/IP_over_Avian_Carriers to je aj realny protokol :) Odpovedať Známka: 10.0 Hodnotiť:

Re: Ako toto? Od: hromozvod | Pridané: 26.5.2014 14:12 ktovie kam by letel taky holub na LSD :) Odpovedať Známka: 8.2 Hodnotiť:

Re: Ako toto? Od: Kapor z Vane | Pridané: 26.5.2014 14:26 ...priamo k zemi! Odpovedať Známka: 8.6 Hodnotiť:

Re: Ako toto? Od: qqqqqqqqqqqqqqqqqqqqqq | Pridané: 26.5.2014 18:19 no predsa na DSL :-) Odpovedať Známka: 7.1 Hodnotiť:

Re: Ako toto? Od reg.: dukat | Pridané: 26.5.2014 18:09 zdravim, dobre som sa pobavil :) Poslal som to kolegovi (sietovy inzinier) nech mi nato napise svoj nazor. Odpoved: "Nikdy som o tom nepocul ale vsetko je tam povedane - nie je to odporucane kvoli point-to-point nevyhode" Odpovedať Známka: 10.0 Hodnotiť:

Re: Ako toto? Od: sensei-san | Pridané: 26.5.2014 20:39 Sieťový inžinier by mal čítať /. A všimnúť si RFC, ktoré vyjde okolo 1. apríla. Nabudúce objaví evil-bit ;-) Odpovedať Známka: 7.1 Hodnotiť:

Re: Ako toto? Od: heeeeh | Pridané: 27.5.2014 14:58 TCP je skratka TvojaCmulaPenis ? Odpovedať Známka: -5.0 Hodnotiť:

Re: Ako toto? Od: ferko mrkvicka | Pridané: 26.5.2014 18:06 Bratu moj, radsej nepoucuj. Ja si svoju lasku necham pre niekoho, kto si to zasluzi a k@k@tkov ako ty budem posielat kam patria... studovat, studovat a este raz studovat, nez sa budu hrat na dalsieho Konfucia ;). Odpovedať Známka: -8.5 Hodnotiť:

Re: Ako toto? Od: tvojtatko | Pridané: 26.5.2014 18:22 kokot si ty, pretoze toto s TCP portom 80 naozaj nic nema. Ci ako si to predstavujes? Poslem request na UDP port 80, a odpoved dostanem na TCP 80? Co ty fajcis? :-D Odpovedať Známka: 6.7 Hodnotiť:

Re: Ako toto? Od: tvojamatka | Pridané: 27.5.2014 7:13 Pan je zjavne na urovni neandrtalca ci nasho retardovaneho prezidenta Gasparka, ktory si nie je schopny ani len dohladat informacie. http://goo.gl/30BU hla, vyval svoje oci na 162 a 199 a pri nich TCP aj SNMP. To som vsak odbocil od temy. Fajcis daco ty a krizia sa ti oci alebo si bezkontextovy simpanz. Prispevok na ktory reagujes, reagoval na ineho jeba, ktory bol off-topic. Kontext, k@k@te, KONTEXT! Odpovedať Známka: -5.0 Hodnotiť:

Re: Ako toto? Od: aaaaaaaaa | Pridané: 27.5.2014 22:52 Aj UDP port moze byt 80, aj ked to nie je HTTP na TCP. Podla mna:ak poziadavka prisla cez UDP, tak aj odpoved by mala byt UDP. Takze otazka dobra, odpovedajuci neznaly aj neslusny. Odpovedať Hodnotiť:

Re: Ako toto? Od reg.: Redakcia DSL.sk | Pridané: 26.5.2014 12:31 Nemôžu, navyše TCP sa takýmto spôsobom spoofovať nedá. Išlo o UDP port 80. To mohlo možno pomôcť preliezť cez nejakým spôsobom nastavené firewally...? Odpovedať Známka: 5.7 Hodnotiť:

Re: Ako toto? Od: milan.ko | Pridané: 26.5.2014 15:30 Ako ale mohli nasledne urobit DDOS na HTTP na protokole, na ktorom HTTP nefunguje? Jedine, ze by islo o DDoS, pri ktorom bola snaha o zahltenie konektivity, v takom pripade by ale mitigacia mala byt extremne jednoducha (bloknut vsetok UDP na port 80), neverim, ze takto organizovany utocnik by urobil takuto trivialnu chybu. Odpovedať Známka: 5.0 Hodnotiť:

Re: Ako toto? Od: Koumak | Pridané: 26.5.2014 18:29 Poopravim ta, SNMP bezi na TCP, alebo UDP portoch. Kazde ma svoje pro a proti, zalezi od konkretnej implementacie. Inak odporucam si aspon precitat dovody a diery tej ktorej verzie aspon na: http://en.wikipedia.org/wiki/ Simple_Network_Management_Protocol Osobne som sa uz par krat stretol s TCP verziou SNMP u routerov/switchov. Odpovedať Hodnotiť:

Re: Ako toto? Od: milan.ko | Pridané: 27.5.2014 7:59 To je sice pravda, ale tento DDoS zosilnenim cez SNMP reply sa cez TCP urobit neda kvoli tomu, ze pri TCP je nutne najprv naviazat spojenie, tym padom pri navazovani nie je mozne pouzit spoofnutu zdrojovu IP. Odpovedať Hodnotiť:

nerdi Od: odpalovač | Pridané: 26.5.2014 14:02 Takzvaný nerdský jazyk, alebo nerdština v tom článku :) Odpovedať Známka: 0.0 Hodnotiť:

zase ten dotaz Od reg.: Ironman | Pridané: 26.5.2014 14:21 slovo "dotaz" (v clanku) neexistuje v slovencine spravne ma byt: otázka, dopyt Odpovedať Známka: 6.2 Hodnotiť:

Re: zase ten dotaz Od reg.: Miroslav Ďurian | Pridané: 26.5.2014 14:53 Warning! Grammar nazi dteCteD! http://lnk.sk/bXN Odpovedať Známka: -6.9 Hodnotiť:

Re: zase ten dotaz Od: 6aaaaaa | Pridané: 26.5.2014 16:06 takze v slohovej praci o SQL databazach na slovencine mas za "dotaz" jasnu 2-ku. Odpovedať Známka: -2.0 Hodnotiť:

Re: zase ten dotaz Od: stoneage | Pridané: 26.5.2014 16:31 spravne je "kverka" Odpovedať Známka: 2.5 Hodnotiť:

Re: zase ten dotaz Od: lol. | Pridané: 26.5.2014 16:36 Tak neviem, je to podľa skloňovacieho vzoru "kvér"? To mi nesedí, kvér je predsa mužský vzor. Odpovedať Známka: 0.0 Hodnotiť:

Re: zase ten dotaz Od: joskoooo | Pridané: 26.5.2014 20:01 zpravne ma bit posiadauka Odpovedať Známka: -3.3 Hodnotiť:

Re: zase ten dotaz Od: wwww5 | Pridané: 26.5.2014 20:29 V realite si lepsie plateny za vedomosti o slovencine alebo za vedomosti o softverom inzinierstve ? To je iba na okraj porovnanie. Vela slov sa neda z AJ rozumne prelozit ... Odpovedať Známka: -3.3 Hodnotiť:

ici id Od: od kdk kd | Pridané: 27.5.2014 0:33 ja vam vobec nerozumiem Odpovedať Známka: -3.3 Hodnotiť:

qwerty Od: asdfmnbv | Pridané: 27.5.2014 7:15 Evil printer Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár