Les DDoS à l’état sauvage utilisent un nouveau moyen d’atteindre tailles impensables

Les DDoS à l'état sauvage utilisent un nouveau moyen pour atteindre des tailles impensablesWikipédia

Les pirates ont trouvé un moyen d’amplifier distribué attaques de déni de service par un nombre sans précédent de 51 000 fois leur force originale dans un développement qui, selon les Whitehats, pourrait conduire � nouveaux assauts record qui suppriment les sites Web et Internet Infrastructure.

Lectures complémentaires

Les attaques de déni de service qui ont détruit les sites de jeux importants ont abusé de la synchronisation du Web Les vandales protocolDDoS ont longtemps intensifié leurs attaques en envoyant un petit nombre de paquets de données spécialement conçus à publier services disponibles. Les services répondent alors à leur insu par envoyer un nombre beaucoup plus important de paquets indésirables à une cible. le les meilleurs vecteurs connus pour ces attaques par amplification DDoS sont mal serveurs de résolution de système de noms de domaine sécurisés, qui magnifient volumes jusqu’à 50 fois, et le protocole de temps réseau, qui increases volumes by about 58 times.Cloudflare

Mardi, des chercheurs ont rapporté que des attaquants abusaient d’un méthode auparavant obscure qui fournit des attaques 51 000 fois leur taille originale, ce qui en fait de loin la plus grande méthode d’amplification jamais utilisé à l’état sauvage. Le vecteur cette fois est memcached, un système de mise en cache de bases de données pour accélérer les sites Web et les réseaux. Plus de la semaine dernière, des attaquants ont commencé à en abuser pour diffuser des DDoS. avec des volumes de 500 gigabits par seconde et plus, atténuation des attaques DDoS service Arbor Networks rapporté dans un article de blog.

Les responsables du réseau de distribution de contenu Cloudflare, qui a signalé les attaques ici, a déclaré que les attaques qu’ils voient viennent de moins plus de 6000 serveurs memcached accessibles sur Internet. Les recherches montrent qu’il existe plus de 88 000 serveurs de ce type, un indication, il est possible que les attaques deviennent beaucoup plus grandes.

“C’est un facteur d’amplification exceptionnellement grand”, a déclaré John Graham-Cumming, CTO du réseau de distribution de contenu Cloudflare, qui a ajouté que c’est le plus grand facteur d’amplification qu’il ait jamais eu vu. “Je pense que la semaine prochaine, nous verrons bien grandes attaques de plus d’un terabit par seconde provenant de celui-ci “.

Johnathan Azaria, chercheur en sécurité chez DDoS mitigation service Imperva estime que le grossissement est un facteur de 9 000 pour memcached et 557 pour NTP. Il a également estimé le nombre de memcache services disponibles sur Internet sur le port 11211 à 93 000. Malgré l’utilisation de métriques différentes, les chiffres appuient la controverse que memcached offre un facteur d’amplification sans précédent et qu’il y a un grand pool de serveurs potentiels à abuser.

Lectures complémentaires

Record-breaking DDoS reportedly delivered by >145k hackedcaméras Certaines des plus grandes attaques DDoS connues du public se sont produites � 2016. En septembre de cette année, KrebsOnSecurity a été souscrit pour jours après la réception de volumes de trafic indésirable supérieurs à 620 Gbps. Environ En même temps, OVH, fournisseur Internet basé en France, est un hôte populaire pour les serveurs de jeux, a déclaré qu’il a maintenu des attaques atteignant 1,1 To et 901 Gbps.

Ces attaques ont été livrées par une race alors relativement nouvelle de botnet composé de centaines de milliers de routeurs domestiques et d’autres soi-disant Internet de dispositifs de choses. Une variété de facteurs, y compris la facilité de compromettre les appareils, la difficulté de les sécuriser, et le nombre considérable d’entre eux – permis mécréants pour amasser d’énormes armées de pions DDoS qui pourraient être mobilisé à l’unisson pour livrer des volumes impensables une fois pour toutes trafic.

DDoS à l’ancienne

Les attaques de ce mois-ci abusant de serveurs memcached anciennes attaques DDoS ne nécessitant pas de botnets massifs. Memcached Les serveurs disposent généralement de beaucoup de bande passante. Combinés à l’amplification 51 000 fois fournie, les DDoSers besoin que d’une poignée d’appareils pour fournir une charge initiale. Cette rend la technique accessible à un groupe beaucoup plus large de personnes, plutôt que juste à ceux qui contrôlent un grand réseau de zombies.

“L’impact collatéral potentiel de memcached Les attaques DDoS par réflexion / amplification peuvent être très significatives, ces attaques présentent des ratios de réflexion / amplification élevés et tirer parti de réflecteurs / amplificateurs de classe serveur qui présentent généralement liens d’accès à bande passante élevée et qui résident dans Internet Data Centres (IDC) avec des liaisons de transit en amont à grande vitesse “, Roland Dobbins, ingénieur principal chez Arbor Security Engineering & Response Team, écrit dans l’article de mardi.

Les attaques fonctionnent parce qu’une variété de réseaux expose les serveurs memcached à Internet dans leur configuration par défaut non sécurisée configuration. En règle générale, les systèmes memcached devraient être accessible uniquement sur les réseaux locaux et doit être gardé en toute sécurité derrière un pare-feu. Jusqu’à présent, les attaques sont venues d’un peu plus de 5 700 adresses IP uniques, principalement en Amérique du Nord et en Europe.

AgrandirCloudflare

“Je soupçonne que la plupart de ces serveurs memcached n’ont pas besoin d’être sur l’Internet public “, a déclaré Graham-Cumming.” C’est juste un erreur. “Il a déclaré que son inquiétude face à l’aggravation des attaques est alimentée par la disponibilité mentionnée précédemment de plus de 88 000 mal serveurs memcached sécurisés, tels que mesurés par la recherche Shodan moteur.

AgrandirCloudflare

Pour exploiter l’énorme potentiel d’attaque des serveurs, DDoSers envoyez-leur un nombre relativement petit de paquets UDP qui ont été manipulés pour apparaître comme si elles avaient été envoyées par le destinataire cible. Les serveurs memcached répondent en envoyant à la cible le message réponse massive. Les attaques soulignent encore une fois le public nuisance résultant de fournisseurs de services qui autorisent toujours UDP les paquets doivent être falsifiés pour falsifier le véritable expéditeur.

Cloudflare conseille les fournisseurs de réseau qui déploient memcached serveurs pour désactiver le support UDP lorsque cela est possible. Dans de nombreux cas, Le trafic basé sur TCP suffit. Arbor Networks, quant à lui, recommande que les opérateurs de réseau “mettent en œuvre un réseau adapté à la situation stratégies d’accès à la périphérie Internet Data Center (IDC) afin de protéger les déploiements memcached de UDP / 11211 non autorisés et Trafic TCP / 11211 depuis Internet public. Dans tous les cas, les serveurs devrait être protégé par un pare-feu depuis Internet.

Cet article a été mis à jour pour corriger le nom d’Imperva.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: