Компания Arbor Networks, которая совместно с Google поддерживает интерактивную карту DDoS-атак, сообщила о выявлении «крупнейшей в истории» DDoS-атаки интенсивностью 1,7 терабит в секунду. Примечательно, что незадолго до этого компания Akamai зафиксировала DDoS-атаку на GitHub с потоком в 1,3 Тбит/сек. Обе эти атаки проводились с использованием усилителя из общедоступных серверов Memcached.
По сути, сейчас мы входим в новую эру терабитных DDoS-атак. Если ранее самые мощные DDoS-атаки с использованием NTP-усиления достигали интенсивности максимум 650 Гбит/cек (усиление до 556 раз), то использование Memcached обеспечивает возможность усиления интенсивности потока трафика в 10-50 тысяч раз (в зависимости от сервера).
Напомним, что метод атаки с использованием усилителя трафика основан на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг).
Общедоступный Memcached позволяет загрузить на сервер большой блок данных, а затем отправить по UDP поддельный GET-запрос от имени жертвы и эти данные будут отправлены на заданный IP (используется UDP-порт 11211). Всего по предварительной оценке в сети насчитывается 93 тыс. общедоступных серверов Memcached, которые потенциально могут быть вовлечены в атаки. Всплеск DDoS-атак с привлечением memcached зафиксирован 24 февраля и за последнее время ситуация немного улучшилась (немало серверов были закрыты), но число открытых систем по-прежнему остается большим, что дает хакерам возможности совершать рекордные атаки. Отметим, что опасность представляют некорректно настроенные серверы, в которых Memcached прикреплен к внешнему сетевому порту и может принимать запросы извне.
Источник: Arbor Networks и opennet