Prolongar
Getty Images
comentários do leitor
26
com 25 pôsteres participantes
Compartilhe esta história
Compartilhar no Facebook
Compartilhar no Twitter
Compartilhe no Reddit
Os criminosos estão aumentando a potência dos ataques distribuídos de negação de serviço com uma técnica que abusa de um protocolo de Internet amplamente usado que aumenta drasticamente a quantidade de tráfego de lixo direcionado aos servidores almejados.
DDoSes são ataques que inundam um site ou servidor com mais dados do que ele pode suportar. O resultado é uma negação de serviço às pessoas que tentam se conectar ao serviço. À medida que os serviços de mitigação de DDoS desenvolvem proteções que permitem que os alvos resistam a torrentes de tráfego cada vez maiores, os criminosos respondem com novas maneiras de aproveitar ao máximo sua largura de banda limitada.
Ficando empolgado
Nos chamados ataques de amplificação, os DDoSers enviam solicitações de tamanhos de dados relativamente pequenos para certos tipos de servidores intermediários. Os intermediários então enviam aos alvos respostas dezenas, centenas ou milhares de vezes maiores. O redirecionamento funciona porque as solicitações substituem o endereço IP do invasor pelo endereço do servidor visado.
Leitura Adicional
DDoSes in-the-wild usam uma nova maneira de alcançar tamanhos impensáveis
Outros vetores de amplificação bem conhecidos incluem o
memcached
sistema de armazenamento em cache de banco de dados com um fator de amplificação de impressionantes 51.000, o
Protocolo de Tempo da Rede
com um fator de 58, e
servidores DNS mal configurados
com um fator de 50.
O provedor de mitigação de DDoS, Netscout, disse na quarta-feira que observou os serviços de DDoS de aluguel adotando um novo vetor de amplificação. O vetor é o
Segurança da camada de transporte de datagrama
, ou D / TLS, que (como o nome sugere) é essencialmente o
Segurança da Camada de Transporte
para pacotes de dados UDP. Assim como o TLS impede a escuta, violação ou falsificação de pacotes TLS, o D / TLS faz o mesmo com os dados UDP.
DDoSes que abusam de D / TLS permitem que os invasores amplifiquem seus ataques por um fator de 37. Anteriormente, a Netscout via apenas invasores avançados usando infraestrutura DDoS dedicada abusando do vetor. Agora, os chamados serviços de inicialização e estressores - que usam equipamentos comuns para fornecer ataques de aluguel - adotaram a técnica. A empresa identificou quase 4.300 servidores D / LTS acessíveis ao público que são suscetíveis ao abuso.
Propaganda
Os maiores ataques baseados em D / TLS que a Netscout observou entregou cerca de 45 Gbps de tráfego. As pessoas responsáveis pelo ataque combinaram-no com outros vetore
s de amplificação para atingir um tamanho combinado de cerca de 207 Gbps.Atacantes habilidosos com sua própria infraestrutura de ataque normalmente descobrem, redescobrem ou melhoram os vetores de amplificação e, em seguida, os usam contra alvos específicos. Eventualmente, a palavra vazará para o subsolo por meio de fóruns da nova técnica. Os serviços de reforço / estressor então fazem pesquisas e engenharia reversa para adicioná-los ao seu repertório.
Desafiante para mitigar
O ataque observado “consiste em dois ou mais vetores individuais, orquestrados de forma que o alvo seja atacado pelos vetores em questão simultaneamente”, escreveram por e-mail o gerente de inteligência de ameaças da Netscout, Richard Hummel, e o engenheiro principal da empresa, Roland Dobbins. “Esses ataques de múltiplos vetores são o equivalente online de um ataque de armas combinadas, e a ideia é sobrecarregar os defensores em termos de volume de ataque e apresentar um cenário de mitigação mais desafiador.”
Os 4.300 servidores D / TLS abusáveis são o resultado de configurações incorretas ou software desatualizado que faz com que um mecanismo anti-spoofing seja desativado. Embora o mecanismo seja integrado à especificação D / TLS, o hardware, incluindo o Citrix Netscaller Application Delivery Controller, nem sempre o ativava por padrão. A Citrix mais recentemente encorajou os clientes a atualizar para uma versão de software que usa anti-spoofing por padrão.
Além de representar uma ameaça aos dispositivos na Internet em geral, os servidores D / TLS abusivos também colocam em risco as organizações que os utilizam. Ataques que desviam o tráfego de uma dessas máquinas podem criar interrupção total ou parcial dos serviços de acesso remoto de missão crítica dentro da rede da organização. Os ataques também podem causar outras interrupções no serviço.
Hummel e Dobbins da Netscout disseram que os ataques podem ser desafiadores para mitigar porque o tamanho da carga em uma solicitação D / TLS é muito grande para caber em um único pacote UDP e é, portanto, dividido em um fluxo de pacote inicial e não inicial .
“Quando grandes pacotes UDP são fragmentados, os fragmentos iniciais contêm números de porta de origem e destino”, escreveram eles. “Fragmentos não iniciais não; então, ao mitigar um vetor de reflexão / amplificação UDP que consiste em pacotes fragmentados, como DNS ou reflexão / amplificação CLDAP, os defensores devem garantir que as técnicas de mitigação que empregam possam filtrar os fragmentos iniciais e não iniciais do tráfego de ataque DDoS em questão, sem fazer overclock de fragmentos não iniciais UDP legítimos. ”
Netscout tem recomendações adicionais
aqui
.
