top
logo


Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с (дополнено) PDF Печать E-mail
Автор: adm   
12.02.14 19:18

Компания CloudFlare зафиксировала одну из самых крупных DDoS-атак, поток трафика на систему жертвы при которой превысил отметку в 400 Гбит/с, что на 100 Гбит/с больше, чем в результате прошлогодней атаки на Spamhaus.org. Почти в то же время c атакой с интенсивностью в 350 Гбит/с столкнулся французский хостинг-оператор OVH.

Атаки были организованы с использованием техники усиления трафика через необновлённые NTP-серверы. Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массированных атак. Проверить свой NTP-сервис на уязвимость можно на сайте проекта OpenNTP.

Дополнение: Опубликована более подробная характеристика атаки. Трафик в 400 Гбит/сек был сгенерирован с использованием всего 4529 уязвимых NTP-серверов, размещённых в 1298 различных сетях. В среднем каждый NTP-сервер генерировал в сторону жертвы поток с пропускной способностью 87 Mбит/сек. Для сравнения, в атаке на Spamhaus было задействовано 30956 открытых DNS-резолверов.

Примечательно, что теоретически, так как NTP позволяет усилить трафик в 206 раз, для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт и размещённым в сети, допускающией спуфинг IP-адреса получателя. Прогнозируется, что следующим шагом атакующих может стать вовлечение SNMP-серверов в качестве усилителей трафика. Теоретически, проблемный SNMP-сервер может обеспечить усиление трафика в 650 раз. В настоящее время уже фиксируются отдельные эксперименты атакующих с использованием SNMP.

  1. Главная ссылка к новости (http://threatpost.com/ntp-amplification-...)
  2. OpenNews: Волна DDoS-атак, использующих NTP-серверы для усиления трафика
  3. OpenNews: DNS серверы в роли сети для DDoS атак
  4. OpenNews: Google и Arbor Networks подготовили интерактивную карту для визуализации DDoS-атак
  5. OpenNews: На Spamhaus.org обрушилась крупнейшая в истории DDoS-атака
  6. OpenNews: Оценка методов усиления трафика при организации DDoS-атак
Тип: Проблемы безопасности
Ключевые слова: ddos, ntp, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.1, EuPhobos, 23:50, 12/02/2014 [ответить] [смотреть все] +14 +/
> Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.

Одни ленивые админы делают проблемы другим админам.

 
    3.5, Добрый доктор, 00:19, 13/02/2014 [^] [ответить] [смотреть все] +5 +/
Простите, но 171 уведомления о необходимости изменения конфигурации NTP-сервер... весь текст скрыт [показать]
 
  4.30, Аноним, 10:02, 13/02/2014 [^] [ответить] [смотреть все]  +3 +/
К сожалению, в умах многих одминов отношение не тронь - не воняет обладает сво... весь текст скрыт [показать]
 
  5.34, Нанобот, 11:15, 13/02/2014 [^] [ответить] [смотреть все]  +2 +/
такое отношение называется симметричность , а не транзитивность ... весь текст скрыт [показать]
 
  6.40, Demo, 14:05, 13/02/2014 [^] [ответить] [смотреть все]  –1 +/

> такое отношение называется "симметричность", а не "транзитивность".

Скорее, коммутативность.

 
3.33, Нанобот, 11:14, 13/02/2014 [^] [ответить] [смотреть все]  +/
по прежнему актуально но кроме здравомыслящих админов ещё существуют админы-ист... весь текст скрыт [показать]
 
  4.38, Аноним, 13:40, 13/02/2014 [^] [ответить] [смотреть все]  +1 +/
Это лет 20 назад называлось Синдром чрезмерного администрирования И лечилось ... весь текст скрыт [показать]
 
3.45, Аноним, 15:47, 13/02/2014 [^] [ответить] [смотреть все]  –1 +/
Если это приводит к проблемам у других людей - гнать таких админов взашей, с вол... весь текст скрыт [показать]
 2.42, Demo, 14:11, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/ >> Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.
> Одни ленивые админы делают проблемы другим админам.

На работе — да, можно и обновить, и то, после нагоняя от начальства за нереагирование на абузы. А дома — лениво. Хотя дома у меня OpenNTPd. Он не затронут этой фичей (не могу назвать ни багом, ни уязвимостью, ибо бай дизайн).

 
  3.59, Аноним, 20:15, 13/02/2014 [^] [ответить] [смотреть все]  +/
А вот пример админов которых надо гнать с волчьим билетов Так, чтобы сеть была ... весь текст скрыт [показать]
 
  4.60, Аноним, 21:25, 13/02/2014 [^] [ответить] [смотреть все]  +/
Кричали те кого даже в админы не пустили... весь текст скрыт [показать]
 
2.66, svd, 04:43, 14/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/ Дистрибутивы поставляют стабильные версии ntpd:
Tarballs Stable: 4.2.6p5 2011/12/24
Dev.: 4.2.7p421 2014/02/10
(с сайта http://www.ntp.org/)
Т.е.пока они сами не выпустят 4.2.8 Tarballs Stable ничего не изменится!
 
1.3, Perain, 23:57, 12/02/2014 [ответить] [смотреть все]  +18 +/ Давно пора спамхаус уничтожить
 
  2.4, Добрый доктор, 00:17, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  –2 +/
 
  3.6, imprtat, 00:36, 13/02/2014 [^] [ответить] [смотреть все]  +11 +/
А зачем нужны рэкетиры?
Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с (дополнено)
 
  4.11, Добрый доктор, 01:39, 13/02/2014 [^] [ответить] [смотреть все]  –1 +/
И кого они рэкети ... весь текст скрыт [показать]
 
 
 
 
Часть нити удалена модератором

7.50, Аноним, 15:59, 13/02/2014 [^] [ответить] [смотреть все]  
–1 +/
Методы работы спамхауса метко описываются фразой ядерный взрыв уничтожает вреди... весь текст скрыт [показать]
 
  8.67, Добрый доктор, 11:12, 14/02/2014 [^] [ответить] [смотреть все]  +/
Да вам, спамерам, ваще зубы плоскогубцами выдергивать нужно :)
А выкалывать глаза — шилом :)
 
5.46, Аноним, 15:48, 13/02/2014 [^] [ответить] [смотреть все]  –1 +/
А всех, кого угораздило туда попасть, с поводом и без Обычное такое вымогательс... весь текст скрыт [показать]
 
  6.68, Добрый доктор, 11:13, 14/02/2014 [^] [ответить] [смотреть все]  +1 +/
>> И кого они рэкети?
> А всех, кого угораздило туда попасть, с поводом и без. Обычное такое
> вымогательство.

Не лги, грязный преступный спамер.
Растоптать бы сапогом твою харю....

 
4.17, Аноним, 03:28, 13/02/2014 [^] [ответить] [смотреть все]  –4 +/
не было бы спаммеров - не было бы спамхауза не было бы спамхауза - не было бы р... весь текст скрыт [показать]
 
  5.22, Perain, 05:55, 13/02/2014 [^] [ответить] [смотреть все]  +4 +/
Причем тут спам Они банят целиком подсети Дата-Центров AS со всеми CIDR подсе... весь текст скрыт [показать]
 
  6.24, Добрый доктор, 06:04, 13/02/2014 [^] [ответить] [смотреть все]  –6 +/
И ссылка есть Брехня ведь ... весь текст скрыт [показать]
 
  7.26, Аноним, 07:17, 13/02/2014 [^] [ответить] [смотреть все]  +/
То что здесь не пойдёт http stophaus com forum php ... весь текст скрыт [показать]
 
7.39, vvi, 13:49, 13/02/2014 [^] [ответить] [смотреть все]  +1 +/ > И ссылка есть? Брехня ведь?

К сожалению не брехня. Лично сталкивался.
Например, осенью 2012 года эти "чудаки" целиком блокирнули /17 сеть крупного провайдера, которая развёрнута в одном из крупных датацентров Москвы. И это при том, что комплейны были всего на пару десятков адресов.

 
  8.69, Добрый доктор, 11:14, 14/02/2014 [^] [ответить] [смотреть все]  +/
>> И ссылка есть? Брехня ведь?
> К сожалению не брехня. Лично сталкивался.
> Например, осенью 2012 года эти "чудаки" целиком блокирнули /17 сеть крупного провайдера,
> которая развёрнута в одном из крупных датацентров Москвы. И это при
> том, что комплейны были всего на пару десятков адресов.

И очень правильно сделали.

 
7.49, Аноним, 15:54, 13/02/2014 [^] [ответить] [смотреть все]  +2 +/
Не знаю как там насчет ссылок, а по личному опыту спамхауз весьма мерзкая контор... весь текст скрыт [показать]
 
  8.70, Добрый доктор, 11:16, 14/02/2014 [^] [ответить] [смотреть все]  +/
>> И ссылка есть? Брехня ведь?
> Не знаю как там насчет ссылок, а по личному опыту спамхауз весьма
> мерзкая контора, которым хочется дать в бубен не меньше чем самим
> спамерам. Блеклистят все подряд по желанию левой пятки, а потом еще
> и деньги вымогают.

Блеклистит НЕ спамхауз.

Блеклистят АДМИНЫ ЛОКАЛЬНЫХ СИСТЕМ, которые не желают получать спам.

Недоступно пониманию?

 
7.58, Perain, 20:07, 13/02/2014 [^] [ответить] [смотреть все]  +2 +/
Цитирую Товарищ Капитан Спамхаус не имеет отношения ни к закону, ни к здравому ... весь текст скрыт [показать]
 
  8.61, Аноним, 22:41, 13/02/2014 [^] [ответить] [смотреть все]  –1 +/
про РТК- да не, Ростелекому - проще дропать таких клиентов научиться чем вест... весь текст скрыт [показать]
 
8.77, nuclearcat, 16:11, 14/02/2014 [^] [ответить] [смотреть все]    [к модератору]  +/ Кого колышат контракты РТКомм и российское законодательство вообще?
Так можно до пришествия отмазываться контрактами, законами и прочими "ну вы понимаете".
А спам будет идти.
Поэтому сейчас хостеры боятся спамхауса как огня, и пишут в контракте - не делайте ничего, что внесет нас в спамхаус, отключим мгновенно. И правильно, ибо эти уродцы будут отмазываться до последнего, им копейка своего клиента ближе, чем проблемы со спамом у других людей.
 5.47, Аноним, 15:49, 13/02/2014 [^] [ответить] [смотреть все]  +1 +/
Мораль спамхаус без спамеров ласты склеит, поэтому шкурно заинтересован в том ч... весь текст скрыт [показать]
 
  6.62, Аноним, 22:42, 13/02/2014 [^] [ответить] [смотреть все]  –1 +/
так в ЭТОМ и был смысл написанного, внезапно не хотите поддерживать спамхауз - ... весь текст скрыт [показать]
 
2.20, Этот самый Анонимус, 04:18, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +2 +/ 
  3.72, Добрый доктор, 11:24, 14/02/2014 [^] [ответить] [смотреть все]  +/
> спамхаус должен быть разрушен как Вавилон

Для тупых? И еще тупее?
Спамхаус не прописывается сам в конфигах МТА?
Его туда самостоятельно вносят МИЛЛИОНЫ ПОЛЬЗОВАТЕЛЕЙ ?

Разбить бы спамерам щи кирпичом.

 
1.7, Аноним, 00:56, 13/02/2014 [ответить] [смотреть все]  +1 +/
Без картинок как-то неубедительно 8230 ... весь текст скрыт [показать]
 
  2.10, xex, 01:29, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +9 +/
нарисовать 16 болванок, падающих каждую секунду? :)))
 
  3.53, Аноним, 16:17, 13/02/2014 [^] [ответить] [смотреть все]  +/
Или два камаза болванок в день Если не очень понятно - разгрузить их неудачнику... весь текст скрыт [показать]
 
1.9, Аноним, 01:22, 13/02/2014 [ответить] [смотреть все]  +2 +/
В Ъ-стабильных системах не обновляются не только фичи, но и баги Старый баг - л... весь текст скрыт [показать]
 
  2.12, Добрый доктор, 01:42, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
Такими словами вы иллюстрируете сообщение 171 проблема устранена в выпуске ntp... весь текст скрыт [показать] [показать ветку]
 
2.15, SAF0001, 03:01, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +2 +/
Автоматическое обновление - реальное зло Достаточно большой шанс, после очере... весь текст скрыт [показать] [показать ветку]
 
  3.27, Eugene Ryabtsev, 08:34, 13/02/2014 [^] [ответить] [смотреть все]  +1 +/
Эээ вы можете фаерить как угодно, а у людей попроще коннект со скоростью 1 Тб... весь текст скрыт [показать]
 
3.28, uk, 08:42, 13/02/2014 [^] [ответить] [смотреть все]  –1 +/
Вы не совсем понимаете суть процесса Это не атака на исчерпание ресурсов серве... весь текст скрыт [показать]
 3.29, Аноним, 09:04, 13/02/2014 [^] [ответить] [смотреть все]  +1 +/
Ну, тут некоторые любят говорить, что линух типа не венда, поставил и забыл В... весь текст скрыт [показать]
 
  4.32, milkman, 10:31, 13/02/2014 [^] [ответить] [смотреть все]  +/
Если эти специалисты годами не закрывают известные дыры Представьте какое раз... весь текст скрыт [показать]
 
  5.44, Аноним, 14:26, 13/02/2014 [^] [ответить] [смотреть все]  +/
Почему - только Ах да, в новостях на опеннете не написали Негодяи, фу такими... весь текст скрыт [показать]
 
4.48, Аноним, 15:51, 13/02/2014 [^] [ответить] [смотреть все]  +/
Бывает, увы Потом оказывается что т к это не дыра в собственной безопасности -... весь текст скрыт [показать]
 3.54, Аноним, 16:22, 13/02/2014 [^] [ответить] [смотреть все]  +/
Проблема в том что это не слишком большое число конектов а слишком дофига траффи... весь текст скрыт [показать]
 

1.13, Аноним, 01:52, 13/02/2014 [ответить] [смотреть все]  +1 +/
Тренируются пока ... весь текст скрыт [показать]
  1.18, Аноним, 03:31, 13/02/2014 [ответить] [смотреть все]  +1 +/
настолько жопа на корпоративных и даже федеральных онлайн-ресурса в NA, была, чт... весь текст скрыт [показать]
 
  2.55, Аноним, 16:23, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
А ты посмотри коэффициент усиления атаки - так десяток мобил на ведроиде может н... весь текст скрыт [показать] [показать ветку]
 
  3.63, Аноним, 22:44, 13/02/2014 [^] [ответить] [смотреть все]  +/
там крупные контракторы минобороны, госдепа и цру - поотваливались и кластеры ... весь текст скрыт [показать]
 
1.19, DwarfPool, 03:47, 13/02/2014 [ответить] [смотреть все]  +/ Мой майнинг- Dwarfpool оказался в самом эпицентре атаки, как вебморда под клоудфларе, так и один из серверов пула у ovh.
Надо отдать обоим должное - траблы были недолго, а у клоудфларе задеты были только некоторые европейские регионы из его эникаста.
  1.21, undead, 05:01, 13/02/2014 [ответить] [смотреть все]  –1 +/ + за cloudflare
  1.35, Аноним, 11:45, 13/02/2014 [ответить] [смотреть все]  +/
Рекомендую посмотреть http www team-cymru org ReadingRoom Templates secure-nt... весь текст скрыт [показать]
 
  2.36, anonymous, 12:00, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
 
    4.64, Аноним, 22:45, 13/02/2014 [^] [ответить] [смотреть все]  +/
дык наружу торчит главная и неотключаемая полностью, увы фича IPMI P как и... весь текст скрыт [показать]
 
1.41, Аноним, 14:06, 13/02/2014 [ответить] [смотреть все]  +1 +/
Зачем они вообще пропускают этот незапрошенный трафик от ntpd серверов, да еще в... весь текст скрыт [показать]
 
  2.52, Аноним, 16:16, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +1 +/
Затем что телепаты в отпуске и поэтому они не знают - запрошенный это траффик ил... весь текст скрыт [показать] [показать ветку]
 
1.65, Аноним, 22:46, 13/02/2014 [ответить] [смотреть все]  +/
нетелепаты обычно используют НОРМАЛЬНЫЕ файровыл для этого, не conntrack кото... весь текст скрыт [показать]
 
  2.74, Forth, 11:53, 14/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
Когда с магистрали льется трафик во всю ширину канала, чем тебе поможет "НОРМАЛЬНЫЕ файровыл", объясни?
 
    4.76, Forth, 15:09, 14/02/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
> iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -j DROP
> не ??

Вот с магистрали сыпется 400 гигабит мусора со всего мира, с кучи разных сетей. Сколько пролезло нужного трафика? А сколько не пролезло? Какой толк от файрвола, если до него нужный трафик не дошел?

 

Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=39075

 
Интересная статья? Поделись ей с другими:

Детские песни

    изображение - детские песни онлайн слушать и скачать минусовки

Детские песенки
онлайн скачать минус

Как собрать кубик?

изображение - как собрать кубик Рбика
Как собрать
кубик Рубика?


bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика