Akamai сообщает о беспрецедентной случае амплификации DDoS-атак, который уже был опробован хакерами в реальности (от него пострадала неназванная игровая компания-клиент Akamai).
На пике реальной атаки ее мощность составляла до 35 Гб/с. Не так много в сравнении со многими другими зафиксированными в этом году инцидентами, но заслуживает внимания сам механизм амплификации (до 15,300% от исходного размера!), которая возможна благодаря использованию протокола WS-Discovery (WSD).
WSD входит в перечень протоколов обнаружения сервисов (Service discovery) — это сетевые протоколы которые позволяют автоматически находить устройства и сервисы имеющиеся в компьютерной сети.
WSD используется в тысячах имеющих доступ к интернету устройств. Если точнее, то в сотнях тысяч. Так, ZDNet при беглом поиске обнаружил 630 тысяч уязвимых устройств, что дает весьма, скажем так, масштабный плацдарм для разгона атаки.
Все гениальное просто: злоумышленник отправляет UDP-пакет на устройство на WS-Discovery устройства с поддельным обратным IP-адресом. Когда устройство отправляет ответ, оно отправляет его на поддельный IP-адрес, позволяя злоумышленникам перехватывать трафик на устройствах WS-Discovery и направлять его на желаемую цель своих DDOS-атак.
При всей серьезности атаки, для того, чтобы предотвратить использование устройства в злокозненных целях, достаточно заблочить UDP source port 3702. Остаются, впрочем, еще роутеры, для защиты которых Akamai опубликовала инструкцию .
В июне 2019 года эксперты АКБ сообщали о прецеденте увеличения в 35,5 раз DDoS-потока через использование ARMS-сервисов. Злоумышленники ищут в Интернете доступные службы удаленного управления macOS-машинами и используют их для амплификации мусорного потока и наведения его на цель. Предельная мощность наблюдаемых атак составила 75 Гбит/с и 11 Mpps (млн пакетов в секунду). На настоящий момент эксперты выявили порядка 54 тыс. доступных из Интернета macOS-компьютеров с активной службой ARMS.
В январе 2019 года платежный сервис QIWI подвергся DDoS-атаке скоростью 200 Гбит/сек (примерно 10 млн пакетов в секунду) в пике с комбинацией векторов LDAP-амплификации и SYN-флуда. Три волны атаки были отбиты специалистами Qrator Labs, которые считают, что «по масштабу источников и полосе это была рекордная атака с задействованием протокола LDAP».
Читайте также на АКБ:
«Лаборатория Касперского»: DDoSить стали короче и профессиональней
Конец кибервойнам наркоторговцев: Tor Project латает опорные дыры для DDoS-атак
Полмиллиона устройств Ubiquiti можно брать голыми руками для амплификации DDoS
