The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

12.02.2014 23:18  Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с (дополнено)

Компания CloudFlare зафиксировала одну из самых крупных DDoS-атак, поток трафика на систему жертвы при которой превысил отметку в 400 Гбит/с, что на 100 Гбит/с больше, чем в результате прошлогодней атаки на Spamhaus.org. Почти в то же время c атакой с интенсивностью в 350 Гбит/с столкнулся французский хостинг-оператор OVH.

Атаки были организованы с использованием техники усиления трафика через необновлённые NTP-серверы. Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массированных атак. Проверить свой NTP-сервис на уязвимость можно на сайте проекта OpenNTP.

Дополнение: Опубликована более подробная характеристика атаки. Трафик в 400 Гбит/сек был сгенерирован с использованием всего 4529 уязвимых NTP-серверов, размещённых в 1298 различных сетях. В среднем каждый NTP-сервер генерировал в сторону жертвы поток с пропускной способностью 87 Mбит/сек. Для сравнения, в атаке на Spamhaus было задействовано 30956 открытых DNS-резолверов.

Примечательно, что теоретически, так как NTP позволяет усилить трафик в 206 раз, для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт и размещённым в сети, допускающией спуфинг IP-адреса получателя. Прогнозируется, что следующим шагом атакующих может стать вовлечение SNMP-серверов в качестве усилителей трафика. Теоретически, проблемный SNMP-сервер может обеспечить усиление трафика в 650 раз. В настоящее время уже фиксируются отдельные эксперименты атакующих с использованием SNMP.

  1. Главная ссылка к новости (http://threatpost.com/ntp-ampl...)
  2. OpenNews: Волна DDoS-атак, использующих NTP-серверы для усиления трафика
  3. OpenNews: DNS серверы в роли сети для DDoS атак
  4. OpenNews: Google и Arbor Networks подготовили интерактивную карту для визуализации DDoS-атак
  5. OpenNews: На Spamhaus.org обрушилась крупнейшая в истории DDoS-атака
  6. OpenNews: Оценка методов усиления трафика при организации DDoS-атак
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ddos, ntp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, EuPhobos, 23:50, 12/02/2014 [ответить] [смотреть все]
  • +15 +/
    > Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.

    Одни ленивые админы делают проблемы другим админам.

     
     
  • 2.2, pv47, 23:55, 12/02/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +6 +/
    > ленивые

    а как же известное "работает - не трожь"?

     
     
  • 3.5, Добрый доктор, 00:19, 13/02/2014 [^] [ответить] [смотреть все]
  • +6 +/
    >> ленивые
    > а как же известное "работает - не трожь"?

    Простите, но «уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими» — сообщают, что как раз НЕ работает! :)

     
     
  • 4.8, ваноним, 01:13, 13/02/2014 [^] [ответить] [смотреть все]
  • +7 +/
    > сообщают, что как раз НЕ работает!

    у вас очень идеализированное представление о бизнесе

     
  • 4.30, Аноним, 10:02, 13/02/2014 [^] [ответить] [смотреть все]
  • +4 +/
    К сожалению, в умах многих одминов отношение не тронь - не воняет обладает сво... весь текст скрыт [показать]
     
     
  • 5.34, Нанобот, 11:15, 13/02/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    такое отношение называется симметричность , а не транзитивность ... весь текст скрыт [показать]
     
     
  • 6.40, Demo, 14:05, 13/02/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Скорее, коммутативность ... весь текст скрыт [показать]
     
  • 3.33, Нанобот, 11:14, 13/02/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    по прежнему актуально но кроме здравомыслящих админов ещё существуют админы-ист... весь текст скрыт [показать]
     
     
  • 4.38, Аноним, 13:40, 13/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Это лет 20 назад называлось Синдром чрезмерного администрирования И лечилось ... весь текст скрыт [показать]
     
  • 3.45, Аноним, 15:47, 13/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Если это приводит к проблемам у других людей - гнать таких админов взашей, с вол... весь текст скрыт [показать]
     
  • 3.82, XoRe, 20:33, 15/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Здесь достаточно правильно указать смысл для слова работает А вообще, тут хор... весь текст скрыт [показать]
     
  • 2.42, Demo, 14:11, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    На работе 8212 да, можно и обновить, и то, после нагоняя от начальства за нер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, Аноним, 20:15, 13/02/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    А вот пример админов которых надо гнать с волчьим билетов Так, чтобы сеть была ... весь текст скрыт [показать]
     
     
  • 4.60, Аноним, 21:25, 13/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Кричали те кого даже в админы не пустили
     
  • 2.66, svd, 04:43, 14/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Дистрибутивы поставляют стабильные версии ntpd Tarballs Stable 4 2 6p5 2011 12... весь текст скрыт [показать] [показать ветку]
     
  • 2.79, re, 01:40, 15/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    это не лень, а недостаток сути
     
  • 1.3, Perain, 23:57, 12/02/2014 [ответить] [смотреть все]  
  • +19 +/
    Давно пора спамхаус уничтожить
     
     
  • 2.4, Добрый доктор, 00:17, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Чего ради?
     
     
  • 3.6, imprtat, 00:36, 13/02/2014 [^] [ответить] [смотреть все]  
  • +13 +/
    А зачем нужны рэкетиры?
     
     
  • 4.11, Добрый доктор, 01:39, 13/02/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    И кого они рэкети?
     
     
     
     
    Часть нити удалена модератором

  • 7.50, Аноним, 15:59, 13/02/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Методы работы спамхауса метко описываются фразой ядерный взрыв уничтожает вреди... весь текст скрыт [показать]
     
     
  • 8.67, Добрый доктор, 11:12, 14/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Да вам, спамерам, ваще зубы плоскогубцами выдергивать нужно А выкалывать глаз... весь текст скрыт [показать]
     
  • 8.85, Аноним, 06:48, 16/02/2014 [^] [ответить] [смотреть все]  
  • +/
    дык не спамьте :)
    все кто-то заставляет ? )
     
  • 5.46, Аноним, 15:48, 13/02/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    А всех, кого угораздило туда попасть, с поводом и без Обычное такое вымогательс... весь текст скрыт [показать]
     
     
  • 6.68, Добрый доктор, 11:13, 14/02/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Не лги, грязный преступный спамер Растоптать бы сапогом твою харю ... весь текст скрыт [показать]
     
  • 4.17, Аноним, 03:28, 13/02/2014 [^] [ответить] [смотреть все]  
  • –4 +/
    не было бы спаммеров - не было бы спамхауза не было бы спамхауза - не было бы р... весь текст скрыт [показать]
     
     
  • 5.22, Perain, 05:55, 13/02/2014 [^] [ответить] [смотреть все]  
  • +4 +/
    Причем тут спам Они банят целиком подсети Дата-Центров AS со всеми CIDR подсе... весь текст скрыт [показать]
     
     
  • 6.24, Добрый доктор, 06:04, 13/02/2014 [^] [ответить] [смотреть все]  
  • –6 +/
    И ссылка есть? Брехня ведь?
     
     
  • 7.26, Аноним, 07:17, 13/02/2014 [^] [ответить] [смотреть все]  
  • +/
    То что здесь не пойдёт? http://stophaus.com/forum.php
     
  • 7.39, vvi, 13:49, 13/02/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    К сожалению не брехня Лично сталкивался Например, осенью 2012 года эти чудаки... весь текст скрыт [показать]
     
     
  • 8.69, Добрый доктор, 11:14, 14/02/2014 [^] [ответить] [смотреть все]  
  • +/
    И очень правильно сделали ... весь текст скрыт [показать]
     
  • 7.49, Аноним, 15:54, 13/02/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Не знаю как там насчет ссылок, а по личному опыту спамхауз весьма мерзкая контор... весь текст скрыт [показать]
     
     
  • 8.70, Добрый доктор, 11:16, 14/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Блеклистит НЕ спамхауз Блеклистят АДМИНЫ ЛОКАЛЬНЫХ СИСТЕМ, которые не желают по... весь текст скрыт [показать]
     
     
  • 9.91, Юрий, 02:02, 04/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Блеклистят как раз пару человек из спамхаус-а Они уроды последние Кто не знает... весь текст скрыт [показать]
     
  • 7.58, Perain, 20:07, 13/02/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    Цитирую Товарищ Капитан Спамхаус не имеет отношения ни к закону, ни к здравому ... весь текст скрыт [показать]
     
     
  • 8.61, Аноним, 22:41, 13/02/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    про РТК- да не, Ростелекому - проще дропать таких клиентов научиться чем вест... весь текст скрыт [показать]
     
     
  • 9.93, mailadmin, 02:13, 04/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Есть порядок утвержденный МИНСВЯЗью все остальное в топку это как бандитам дан... весь текст скрыт [показать]
     
  • 8.77, nuclearcat, 16:11, 14/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Кого колышат контракты РТКомм и российское законодательство вообще Так можно до... весь текст скрыт [показать]
     
     
  • 9.95, mailadmin, 02:18, 04/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Хостеры бояться им деваться некуда Только на очень больше компании они редко н... весь текст скрыт [показать]
     
  • 5.47, Аноним, 15:49, 13/02/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Мораль спамхаус без спамеров ласты склеит, поэтому шкурно заинтересован в том ч... весь текст скрыт [показать]
     
     
  • 6.62, Аноним, 22:42, 13/02/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    так в ЭТОМ и был смысл написанного, внезапно не хотите поддерживать спамхауз - ... весь текст скрыт [показать]
     
     
  • 7.96, mailadmin, 02:20, 04/03/2014 [^] [ответить] [смотреть все]  
  • +/
    это верно НО есть одно НО российский рынок спама это НИОЧЕМ в АМЕРИКЕ это ми... весь текст скрыт [показать]
     
  • 6.94, mailadmin, 02:17, 04/03/2014 [^] [ответить] [смотреть все]  
  • +/
    это точно Но о том как спамхаус пытался закрыть стопхаус ходя легенды http st... весь текст скрыт [показать]
     
  • 4.71, Добрый доктор, 11:22, 14/02/2014 [^] [ответить] [смотреть все]  
  • +/
    А к Apache претензий нет?
    Они Spamassasin хостят!!! :) :) :) :) :) :) :) :)

     
  • 2.20, Этот самый Анонимус, 04:18, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    спамхаус должен быть разрушен как Вавилон
     
     
  • 3.25, Аноним, 06:50, 13/02/2014 [^] [ответить] [смотреть все]  
  • +7 +/
    > должен быть разрушен как Вавилон

    Назад, не туда! Разворачивай оглобли! На Карфаген -- во-о-о-он туда.

     
  • 3.72, Добрый доктор, 11:24, 14/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Для тупых И еще тупее Спамхаус не прописывается сам в конфигах МТА Его туда с... весь текст скрыт [показать]
     
     
  • 4.92, Юрий, 02:07, 04/03/2014 [^] [ответить] [смотреть все]  
  • +/
    для этого надо свергнуть или подкосить то на чем они делают свой бизнес ... весь текст скрыт [показать]
     
  • 1.7, Аноним, 00:56, 13/02/2014 [ответить] [смотреть все]  
  • +1 +/
    Без картинок как-то неубедительно…
     
     
  • 2.10, xex, 01:29, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    нарисовать 16 болванок, падающих каждую секунду? :)))
     
     
  • 3.53, Аноним, 16:17, 13/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Или два камаза болванок в день Если не очень понятно - разгрузить их неудачнику... весь текст скрыт [показать]
     
  • 1.9, Аноним, 01:22, 13/02/2014 [ответить] [смотреть все]  
  • +2 +/
    В Ъ-стабильных системах не обновляются не только фичи, но и баги Старый баг - л... весь текст скрыт [показать]
     
     
  • 2.12, Добрый доктор, 01:42, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Такими словами вы иллюстрируете сообщение 171 проблема устранена в выпуске ntp... весь текст скрыт [показать] [показать ветку]
     
  • 2.15, SAF0001, 03:01, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Автоматическое обновление - реальное зло Достаточно большой шанс, после очере... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, Eugene Ryabtsev, 08:34, 13/02/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Эээ вы можете фаерить как угодно, а у людей попроще коннект со скоростью 1 Тб... весь текст скрыт [показать]
     
  • 3.28, uk, 08:42, 13/02/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы не совсем понимаете суть процесса Это не атака на исчерпание ресурсов серве... весь текст скрыт [показать]
     
  • 3.29, Аноним, 09:04, 13/02/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну, тут некоторые любят говорить, что линух типа не венда, поставил и забыл В... весь текст скрыт [показать]
     
     
  • 4.32, milkman, 10:31, 13/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Если эти специалисты годами не закрывают известные дыры Представьте какое раз... весь текст скрыт [показать]
     
     
  • 5.44, Аноним, 14:26, 13/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Почему - только Ах да, в новостях на опеннете не написали Негодяи, фу такими... весь текст скрыт [показать]
     
  • 4.48, Аноним, 15:51, 13/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Бывает, увы Потом оказывается что т к это не дыра в собственной безопасности -... весь текст скрыт [показать]
     
  • 3.54, Аноним, 16:22, 13/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Проблема в том что это не слишком большое число конектов а слишком дофига траффи... весь текст скрыт [показать]
     
     ....нить скрыта, показать (9)

  • 1.13, Аноним, 01:52, 13/02/2014 [ответить] [смотреть все]  
  • +1 +/
    Тренируются пока
     
  • 1.18, Аноним, 03:31, 13/02/2014 [ответить] [смотреть все]  
  • +1 +/
    настолько жопа на корпоративных и даже федеральных онлайн-ресурса в NA, была, чт... весь текст скрыт [показать]
     
     
  • 2.55, Аноним, 16:23, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А ты посмотри коэффициент усиления атаки - так десяток мобил на ведроиде может н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, Аноним, 22:44, 13/02/2014 [^] [ответить] [смотреть все]  
  • +/
    там крупные контракторы минобороны, госдепа и цру - поотваливались и кластеры ... весь текст скрыт [показать]
     
     
  • 4.90, Аноним, 17:10, 17/02/2014 [^] [ответить] [смотреть все]  
  • +/
    ну ты и писака...
     
  • 1.19, DwarfPool, 03:47, 13/02/2014 [ответить] [смотреть все]  
  • +/
    Мой майнинг- Dwarfpool оказался в самом эпицентре атаки, как вебморда под клоудфларе, так и один из серверов пула у ovh.
    Надо отдать обоим должное - траблы были недолго, а у клоудфларе задеты были только некоторые европейские регионы из его эникаста.
     
  • 1.21, undead, 05:01, 13/02/2014 [ответить] [смотреть все]  
  • –1 +/
    + за cloudflare
     
  • 1.35, Аноним, 11:45, 13/02/2014 [ответить] [смотреть все]  
  • +/
    Рекомендую посмотреть http www team-cymru org ReadingRoom Templates secure-nt... весь текст скрыт [показать]
     
     
  • 2.36, anonymous, 12:00, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    и через ipmi модули supermicro http www supermicro com support faqs faq cfm f... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.57, Michael Shigorin, 20:01, 13/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Если IPMI наружу торчит, то потенциал участия в DDoS -- как бы не наименьшая из ... весь текст скрыт [показать]
     
     
  • 4.64, Аноним, 22:45, 13/02/2014 [^] [ответить] [смотреть все]  
  • +/
    дык наружу торчит главная и неотключаемая полностью, увы фича IPMI P как и... весь текст скрыт [показать]
     
     
  • 5.83, Michael Shigorin, 21:54, 15/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Я о том, что нечего dedicated IPMI LAN port тыкать в общий сегмент ... весь текст скрыт [показать]
     
  • 4.84, Forth, 00:30, 16/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Михаил, часто на дешевых машинах порт совмещен с первым контроллером, а хостинг ... весь текст скрыт [показать]
     
     
  • 5.88, Michael Shigorin, 01:56, 17/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Можно переконфигурить на второй, если только это не что-то совсем кривое без нуж... весь текст скрыт [показать]
     
     ....нить скрыта, показать (6)

  • 1.41, Аноним, 14:06, 13/02/2014 [ответить] [смотреть все]  
  • +1 +/
    Зачем они вообще пропускают этот незапрошенный трафик от ntpd серверов, да еще в... весь текст скрыт [показать]
     
     
  • 2.52, Аноним, 16:16, 13/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Затем что телепаты в отпуске и поэтому они не знают - запрошенный это траффик ил... весь текст скрыт [показать] [показать ветку]
     
  • 1.65, Аноним, 22:46, 13/02/2014 [ответить] [смотреть все]  
  • –1 +/
    нетелепаты обычно используют НОРМАЛЬНЫЕ файровыл для этого, не conntrack кото... весь текст скрыт [показать]
     
     
  • 2.74, Forth, 11:53, 14/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Когда с магистрали льется трафик во всю ширину канала, чем тебе поможет НОРМАЛЬ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.75, AS, 14:40, 14/02/2014 [^] [ответить] [смотреть все]  
  • +/
    iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT ... весь текст скрыт [показать]
     
     
  • 4.76, Forth, 15:09, 14/02/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Вот с магистрали сыпется 400 гигабит мусора со всего мира, с кучи разных сетей ... весь текст скрыт [показать]
     
  • 3.86, Аноним, 06:51, 16/02/2014 [^] [ответить] [смотреть все]  
  • +/
    ну да, передернуть тему обсуждения, когда слились остатки аргументов - так тип... весь текст скрыт [показать]
     
     
  • 4.89, Forth, 09:16, 17/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Файрволл конечно будет резать нежелательный трафик, но это никак не поможет, пос... весь текст скрыт [показать]
     
  • 1.78, Anton, 21:27, 14/02/2014 [ответить] [смотреть все]  
  • +1 +/
    ntpdc -n -c monlist ntp.mipt.ru
    до сих пор не добавили одну строчку в конфиг, даже после этой DDoS атаки...

    Подозреваю что если просканировать весб интернет таких найдется много.

     
     
  • 2.87, Perain, 16:51, 16/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    включая ipv6 сегмент ... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor