Útočníci našli nový typ DDoS superútoku, uskutočnili 1.3 Tbps útok

Značky: bezpečnosťInternet

DSL.sk, 2.3.2018

Útočníci identifikovali a začali používať nový typ útoku typu DDoS, Distributed Denial-of-Service, ktorý je mimoriadne efektívny a dokáže efektívne vyvinúť veľkú dátovú prevádzku zaťažujúcu sieťovú infraštruktúru.

Útok sa začal používať bežnejšie od pondelka, v utorok naň upozornila spoločnosť Akamai a v stredu bol tento typ útoku použitý podľa Akamai na doteraz najsilnejší DDoS útok dosahujúci dátovú prevádzku 1.3 Tbps.

Pri DDoS útokoch ide útočníkom o preťaženie zdrojov cieľa ich útoku. Často je to obyčajné zahltenie sieťových liniek, ktorými sú servery služieb pripojené do Internetu, respektíve sieťovej infraštruktúry.

Potrebnú intenzívnu dátovú prevádzku útočníci môžu efektívne generovať napríklad pomocou botnetov ovládaných zariadení, veľmi častým používaným princípom je ale zosilnenie útoku.

Doteraz najsilnejší DDoS útok, kliknite pre zväčšenie (graf: Akamai)

Na tento účel sa používajú legitímne cudzie servery rozličných protokolov, na ktoré sa pošle požiadavka na odpoveď zo sfalšovanej IP adresy nastavenej na IP adresu cieľa útoku. Server na túto požiadavku odpovie a odpoveď pošle tak v skutočnosti na IP adresu cieľa útoku. Ak je odpoveď výrazne väčšia ako pôvodný dotaz, príde tak k znásobeniu pásma útoku.

Pre tieto účely sa používajú najmä protokoly postavené na UDP, u ktorých je možné ľahko falšovať zdrojovú IP adresu. Príkladom môže byť použitie DNS serverov, ktoré na dotaz o veľkosti desiatok bajtov môžu odpovedať mnohonásobne väčšou odpoveďou.

Nový identifikovaný typ útoku funguje tiež na podobnom princípe, na zosilnenie využíva servery Memcached. Memcached je cachovací systém rozličných objektov, napríklad z databáz pre weby, a štandardne jeho servery nebývajú prístupné z Internetu a nemajú nastavenú autentifikáciu. V skutočnosti je ale z Internetu v súčasnosti prístupných podľa Akamai viac ako 50 tisíc takýchto serverov.

Memcached dokáže útok zosilniť mimoriadne efektívne, Akamai ale uvádza dva líšiace sa faktory zosilnenia. Memcached počúva aj na UDP porte 11211 a na požiadavku na zaslanie nacachovaného objektu tento odošle prípadne vo viacerých UDP paketoch. Jednotlivé objekty môžu mať veľkosť do 1 MB, v jednom pakete sa ich dá vyžiadať viac. Ak zneužívaný Memcached server nemá uložené objekty potrebnej veľkosti, útočník ich môže pred útokom uložiť.

Celkovo sa paketom o veľkosti 203 bajtov dá podľa Akamai spôsobiť odoslanie odpovedí o celkovej veľkosti 100 MB, čo je faktor zosilnenia až takmer 500 tisíc. V texte ale hovorí Akamai o faktore viac ako 50 tisíc.

V stredu tesne pred 18:30 nášho času bol tento typ útoku použitý proti službe pre vývojárov GitHub, maximálna intenzita dosiahla podľa Akamai 1.3 Tbps. Akamai chrániaca službu pomocou Akamai Prolexic útok jednoducho za pár minút zablokovala blokovaním UDP paketov z portu 11211.

V stredu bol zaznamenaný veľký výpadok webových služieb aj na Slovensku, keď viac ako dve hodiny neboli dostupné weby veľkého internetového vydavateľstva Ringier Axel Springer zahŕňajúceho aj Azet. Čo bolo príčinou tohto výpadku a či mohlo ísť o DDoS tohto nového typu nie je známe, keď prevádzkovateľ doteraz neodpovedal na tieto otázky.




Najnovšie články:



Diskusia:

kabel Od: Cibuliak | Pridané: 2.3.2018 10:28 Posielam podmorsky kabel Odpovedať Známka: 8.1 Hodnotiť:

Re: kabel Od: karolynka | Pridané: 2.3.2018 11:23 Azet pravdepodobne ani neodpovie. Najskor ide o zlyhanie ludskeho faktora, no nepriznaju to. Keby slo o DDoS utok, servery by po skonceni utoku bezali, no im nebezalo nic. To je tak, ked obrovska firma setri na zamestnancoch, ti dobri poodchadzaju a ostanu tam len amateri. Sa mohli pouzit od Zoznamu :D Odpovedať Známka: 8.3 Hodnotiť:

Re: kabel Od: karolynka | Pridané: 2.3.2018 11:23 * poucit Odpovedať Známka: 6.7 Hodnotiť:

Re: kabel Od reg.: DenisaSakovaExpertkaSmeruNaVsetko | Pridané: 4.3.2018 18:23 A ty odkial vies tento fakt teraz potvrdeny, ze v azete uz ostali robit iba suplikanti? :P Musis uznat, ze odbornik sa nasledne zamestna hocikde a suflikant musi drzat hubu a krok v tom azete. Ktory zije z byvalej slavy a prace odbornikov hehe. Tomu sa hovori komunizmus/socializmus, alebo kapitalizmus, ked kazdy robi podla svojich schopnosti a dostava podla chvastania sa pred sefom? :D Odpovedať Hodnotiť:

Re: kabel Od: ujo tomas | Pridané: 2.3.2018 13:31 kde su tie casy, ked sa instalovali Windows SBS 2003, sprava servra bola automaticky pristupna cez net ce web rozhranie a vtedy sa chvalili tym, ze spravujete cely server na dialku a nic sa nemoze stat, tak je to bezpecne.. :-) Odpovedať Známka: 10.0 Hodnotiť:

Re: kabel Od: Menovec | Pridané: 2.3.2018 14:19 A stalo sa? Takto sa dá spravovať aj server Netware. Odpovedať Známka: -5.0 Hodnotiť:

Re: kabel Od: syntaxterrorX XX | Pridané: 2.3.2018 14:25 Presne tak. Callback cez za primarne rozhranie nastavene dial-up pripojenie oficialne priekazne zakazanym nie je. Odpovedať Známka: -7.8 Hodnotiť:

Re: kabel Od: ujo tomas | Pridané: 2.3.2018 16:49 no vtedy nie. dnes ano. mas virusy, co skusaju hesla na RDP.. Odpovedať Známka: 10.0 Hodnotiť:

kabel Od: Jack neprihlásený | Pridané: 2.3.2018 11:05 Posielam 203 bajtov cez kabel. Odpovedať Známka: 8.3 Hodnotiť:

Presna pricina nezverejnena Od: 5chars neprihlaseny, ako vzdy | Pridané: 2.3.2018 12:47 Ředitel digitálních médií CNC Matěj Hušek později Lupě:) potvrdil, že za výpadkem stál technický problém poskytovatele hostingu, kterým je slovenská firma Azet.sk (patří do skupiny Ringier Axel Springer). Odpovedať Známka: 8.5 Hodnotiť:

Re: Presna pricina nezverejnena Od: dj_v | Pridané: 2.3.2018 12:58 ale hlúposť, môže za to Putin! Odpovedať Známka: 1.2 Hodnotiť:

Re: Presna pricina nezverejnena Od: Hroch_asdf | Pridané: 2.3.2018 14:32 a Merklova stala hned za nim, ked spolu utocili. Odpovedať Známka: 5.0 Hodnotiť:

Re: Presna pricina nezverejnena Od: dj_v | Pridané: 2.3.2018 14:40 no počkať, počkať. Za každým kybernetickým útokom stoja Rusi. A je to potvrdené anonymnými zdrojmi z Washingtonu. Odpovedať Známka: 0.0 Hodnotiť:

Pridať komentár