Без рубрики

Volumetric DDoS. Причины роста и перспективы.

[vc_row row_padd=»xs-padding»][vc_column width=»1/3″][vc_single_image image=»22040″ img_size=»252*224″ alignment=»center»][/vc_column][vc_column width=»2/3″][vc_column_text it_color=»#000000″]В связи с высокими темпами роста объёмов DDoS атак, исследование данной проблематики становится наиболее актуальным. В этой статье изложен обзор атак максимального объема за несколько лет и применимых технологий во время их реализации.

Статья написана для широкой аудитории, как с пояснением элементарных принципов, так и с техническими подробностями и рекомендациями по устранению уязвимостей в Ваших системах.

За последние 10 лет количество трафика во время масштабных DDoS атак выросло в 60 раз. Естественно у нас возникают вопросы: Почему? Что влияет на тенденцию роста? К чему готовиться в будущем?[/vc_column_text][/vc_column][/vc_row][vc_row row_padd=»no-padding»][vc_column][vc_column_text css=».vc_custom_1483612625922{margin-right: 100px !important;}» it_color=»#000000″]Давайте по порядку.

DDoS (распределённый отказ в обслуживании) – вид атаки на вычислительную систему, с целью ограничения к ней доступа легитимных пользователей.[/vc_column_text][vc_row_inner css=».vc_custom_1483611809974{margin-top: 20px !important;margin-bottom: 20px !important;}»][vc_column_inner][vc_single_image image=»22046″ img_size=»920*504″ alignment=»center»][/vc_column_inner][/vc_row_inner][vc_column_text css=».vc_custom_1483631625073{margin-top: 50px !important;}»]Для реализации DDoS необходим источник трафика способный вывести из строя сервис, либо ограничить к нему доступ пользователей. Данным источником, чаще всего, выступает бот нет. Каждый бот, участвующий в атаке генерирует трафик, адресованный целевому хосту – жертве, жертва не справляется с избыточным количесвом поступаемой информации и перестаёт быть доступной для легитимных пользователей. Каждый скомпрометированный компьютер в бот сети используется злоумышленниками для получения данных платежных карт, рассылки спама, black SEO, взлома аккаунтов и т.п. При каждой атаке владельцы бот сетей теряют часть своих ботов, в связи с компрометацией, что пагубно сказывается на бизнесе представителей касты black hat. В связи с этими факторами хакеры не любят задействовать всех ботов из своего пула, а только их часть, что ограничивает объем трафика при атаке. Но так было раньше…

Время не стоит на месте, появляются новые методы и подходы ведения «бизнеса» в сфере DDoS, и в далёком 2000 году миру стал известен очередной способ увеличения исходящего трафика, за счет уязвимых DNS серверов – DNS amplification, о нем впервые упоминается в докладе сотрудника польского CERT-а. Данный тип атаки позволяет увеличивать объем трафика в разы, снизив количество ботов, участвующих в DDoS.

Суть увеличения мощности заключается в том, что боты посылают запрос уязвимому DNS-серверу, от имени жертвы, а DNS сервер, в свою очередь, отвечает на запрос уже значительно бо́льшим по размеру пакетом.[/vc_column_text][vc_single_image image=»22047″ img_size=»500*278″ alignment=»center»][vc_column_text]Если ваш DNS сервер еще уязвим, а Вы, как его добропорядочный администратор, не желаете участвовать в DDoS атаках, то у вас есть возможность исправить данную ситуацию в соответствии с рекомендациями US-CERT.
Фаза активного применения технологии началось в 2010 г, volumetric DDoS достигла небывалых 100 Гб/с.

-И где бы вИ думали?

— Таки у нас! В Украине 🙂

Подробности ужасов с линии фронта изложены в статье, написанной очевидцами.

Это был прорыв – 10 кратный рост объема за 5 лет.[/vc_column_text][vc_single_image image=»22049″ img_size=»425*389″ alignment=»center»][vc_column_text]2011 и 2012 год не были отличительными, объемные атаки не выходили за пределы 100 Гб/с. Больше шума произвели 60 Гб на финансовые учреждения США.

Какие факторы повлияли на падение темпов роста объемных атак? Осмелимся предположить, что это произошло по ряду причин, одна из которых- пополнение арсенала новыми типами DDoS меньшего объема, но повышенной эффективности. Их цель не инфраструктура жертвы, а определённые сервисы: SSL, HTTP, SIP и т.п. Данный тип атак способен «положить» целевой сервис, не загружая при этом канал выхода в Интрнет. Можно допустить факт появления на рынке информационной безопасности новых сервисов и систем для защиты от DDoS, что приводит к повышению риска компрометации ботов. Как и в любом бизнесе, всё сводится к экономической целесообразности.

С развитием облачных технологий актуальность небольших атак снизилась, поскольку увеличение производительности атакуемого сервиса позволяет справиться с небольшим DDoS-ом путём поглощения паразитного трафика. В связи с этим, у атакующих снова появилась необходимость применять объемные атаки для нападения.

Март 2013 г.

Цель — Spamhouse.

Количество трафика — 300 Гб/с.

Атака началась 18 марта, с небольших 10 Гбит/с. 19 марта произошло девятикратное увеличение до 90 Гбит/с, а 22 марта она достигла 120 Гбит/с. Этой мощности было недостаточно для прорыва защиты Spamhaus и 27 марта через провайдеров Tier 1, в сторону атакуемого, напрились рекордные 300 Гб/с – небывалая мощность на тот момент.

«В основном, трафик генерируется с помощью DNS усиления. Маленькие запросы, отправлялись DNS серверам, которые генеровали ответы в 50-100 раз больше. Адрес отправителя этих запросов подделан так, что DNS-серверы думают, что запросы пришли не из машины атакующего, а от машины жертвы; соответственно, больши́е ответы отправляются на цель, перегружая её трафиком.»

Февраль 2014 г.

Цель – не известна.

Количество трафика — 400 Гб/с (Не самая большая в 2014 году)

На рынок DDoS атак выходит новый игрок – NTP amplification. Аналогично подходу к эксплуатации уязвимости в DNS серверах боты генерируют большое количество UDP пакетов, заменяя IP адреса источника на IP адрес жертвы. UDP пакеты отправляются на серверы NTP (порт 123), которые поддерживают команду MONLIST. В ответ на команду Monlist, NTP сервер отдаёт список 600 IP адресов хостов, обратившихся к нему ранее. Если у NTP сервера список обращений заполнен, то ответ на команду MONLIST будет в 206 раз больше, чем запрос. Поскольку в атаке IP-адрес источника фальсифицирован и UDP протокол не требует рукопожатия, один хост злоумышленника с соединением 100Мб/с может генерировать более 20Гб/с DDoS-трафика на жертву. Если Вы не хотите быть источником атаки, закройте пожалуйста уязвимость на своем NTP сервере.

Ноябрь 2014 г.

Цель – Гонг-Конг, независимые СМИ.

Количество трафика — 500 Гб/с

Прошел год, а DNS amplification остался в тренде, наблюдалось более 250 000 000 DNS запросов в секунду. Подробное описание инцидента изложено в статье.

Декабрь 2015 г

Цель – BBC news

Количество трафика 602 Гб/с

Подробности проведения атаки не раскрываются, однако во многих профильных издательств сообщается, что основным источником атаки были серверы Amazon, интересно какие именно? #Наверное, DNS и NTPJ

 

Наступил 2016 год, к этому времени колоссально увеличилось число устройств в сети Интернет. Они разнообразны. Они доступны. Появляются датчики температуры и давления, радио няни, телевизоры с выходом в Интернет, PSP приставки, выпускают Arduino и Raspberry в промышленном масштабе… Большинство из этих устройств с лёгкостью становятся частью бот сетей, ведь мало кто из пользователей меняет стандартные настройки безопасности на своих гаджетах, относящихся к разряду нового сегмента – Internet of Things, постепенно перерастающих в Internet of Everything, а по факту Internet of Threats J. Новые устройства уже не хранят в себе данные платежных карт, логины и пароли от аккаунтов социальных сетей и почты, теперь их не так жаль потерять, на их операционные системы реже выходят патчи, следовательно — проще взять под контроль, добавив в ряды очередной бот нет армии.

Октябрь 2016 г.

Цель – DYN.

Количество трафика 1,2 Тб/с.

 

Ещё в далёком 2011 году производитель сетевого оборудования – компания Сisco, опубликовала статью с описанием тенденции роста количества устройств в сети Интернет, однако в ней было так мало слов о безопасности для самого Интернета…

20 октября 2016 года, Крис Бейкер- аналитик из компании Dyn (поставщик услуг DNS) опубликовал в блоге статью, посвященную IoT-ботнетам, подобным Mirai, с названием «Как это повлияет на операторов DNS?».
21 октября 2016 года последовал показательный ответ в виде атаки на данную компанию. Результатом инцидента стали сбои в работе многих популярных сайтов по всему миру, в их числе: PayPal, Twitter, Reddit, GitHub, Amazon, Netflix. По предварительным данным объем трафика в пике достиг 1,2 Тб/с. Основным источником были порядка 100 000 устройств из бот сети Mirai. Mirai (от япон.- Будущее) – зловред и одноименная бот сеть, преимущественно из устройств IoT. С момента своего создания в августе 2016 года, Mirai неоднократно заявлял о себе масштабными атаками– на блог Брайана Кребса и OVH (0,6 и 1Тб/с соответственно), после которых в открытый доступ был выложен исходный код Mirai.

Владение таким оружием, как Mirai равносильно дамоклову мечу над головой. Злоумышленники часто выкладывают исходный код зловредного ПО в Интернет, особенно в тот момент, когда правоохранительные органы подбираются слишком близко.

Как и всё гениальное, способ заражения IoT устройств оказался весьма простым: инициация ТСР соединения по telnet на 23 порту, подбор пароля из предварительного списка, в случае получения доступа происходит заражение устройства. Время компрометации уязвимого устройства занимает порядка 10 минут.

Часть кода для подключения:

    tcph->dest = htons(23);
    tcph->source = source_port;
    tcph->doff = 5;
    tcph->window = rand_next() & 0xffff;
    tcph->syn = TRUE;
    // Set up passwords
    add_auth_entry(«\x50\x4D\x4D\x56», «\x5A\x41\x11\x17\x13\x13», 10);     // root  xc3511
    add_auth_entry(«\x50\x4D\x4D\x56», «\x54\x4B\x58\x5A\x54», 9);   // root     vizxv
    add_auth_entry(«\x50\x4D\x4D\x56», «\x43\x46\x4F\x4B\x4C», 8);   // root     admin
    add_auth_entry(«\x43\x46\x4F\x4B\x4C», «\x43\x46\x4F\x4B\x4C», 7);   // admin    admin
    add_auth_entry(«\x50\x4D\x4D\x56», «\x1A\x1A\x1A\x1A\x1A\x1A», 6);  // root     888888

 

*Для изучения, весь исходный код и его модернизированные производные можно найти на GitHub.

После получения контроля над устройством появляется возможность запуска различных типов DDoS атак, включая SYN-flood, UDP-flood, Valve Source Engine (VSE) flood запроса, GRE-flooding, ACK-flooding (в том числе вариации, предназначенные для поражения интеллектуальных систем DDoS защиты), DNS ‘Water Torture’, HTTP GET, HTTP POST и HTTP HEAD. Препятствуйте возникновению DDoS! Смените заводские пароли доступа на своих устройствах!

«С Мирай, я обычно тяну максимум 380K ботов по telnet в одиночку». писал(а) Anna-sempai — хакер который первым выложил(а) код на Hackforums. Из высказывания мы прекрасно понимаем, что 1,2 Тб/с – это далеко не предел и чем дальше, тем хуже…

Поскольку исходные коды Mirai были выданы на всеобщее обозрение, появление новых модификаций не заставило себя ждать. Одним из первых начал бить тревогу Дойчетелеком, заявляя, что подвергся заражению от новой производной Mirai. Была потеряна связь почти с 1 миллионом абонентов. Позже выяснилось, что заражению подверглись операторы и других стран. Наиболее пострадавшие: Великобритания, Бразилия, Северная Ирландия. Как я описывал ранее, оригинальный Mirai заражает IoT устройства через telnet, а её новая модификация имеет дополнительную возможность поиска дефектов в Simple Object Access Protocol (SOAP), данные службы встроены в различные маршрутизаторы, в т.ч. Zyxel. Новый вариант Mirai обращается по протоколам TR-064 и TR-069 через порт 7547 и использует найденную уязвимость, чтобы получить контроль над устройством. Протокол TR-069 используют интернет-провайдеры и операторы связи для удаленного управления модемами и маршрутизаторами в своих потребительских сетях. По некоторым оценкам, общее число устройств с открытым 7547 портом составляет около 41 миллиона, а устройств, которые позволяют получить доступ из-за пределов инфраструктуры провайдера — до 5 миллионов.

Основная опасность исходит не от самого бот-нета Mirai, а от лёгкости способа заражения устройств IoT. Предполагается, что в ближайшее время ситуация скорее ухудшится, нежели пойдет в сторону улучшения, поскольку в мерах противодействия заражения IoT устройств необходимо принимать участие всем, как производителям, провайдерам, государственным органам, так и конечным пользователям существующих приборов.

В данный момент проводятся исследования в сфере разработки «полезного червя» нематоды. Данная разработка должна заражать IoT устройство, обезвреживать Mirai, либо его производные и после смены пароля самоуничтожаться. В теории данный способ имеет право на жизнь, однако носит за собой весьма спорный юридический характер.

Вывод.

За последние годы, основные причины роста объемов DDoS атак связаны с проблемами увеличения количества незащищенных устройств в глобальной сети Интернет, как пользовательских, так и серверных. Системы становятся источниками атак и несут потенциальную угрозу. На сегодняшний день проблема безопасности в Интернете достигла того уровня, что в любой момент времени может коснуться каждого. Ситуацию возможно улучшить лишь путем поддержания высокого уровня информационной безопасности, как юридическими, так и физическими лицами.[/vc_column_text][vc_column_text css=».vc_custom_1483611894923{margin-left: 50px !important;}»]Автор: Михаил Калин, специалист компании «Амика».[/vc_column_text][/vc_column][/vc_row][vc_row row_padd=»xs-padding» section_bg_color=»#f5f5f5″][vc_column width=»1/6″][vc_single_image image=»22017″ img_size=»113*150″ alignment=»right»][/vc_column][vc_column width=»5/6″][vc_column_text css=».vc_custom_1483612005172{margin-right: 100px !important;margin-left: 10px !important;}» it_color=»#000000″]Специалисты компании «Амика» всегда готовы проконсультировать вас по сервисам, услугам и устройствам защиты ваших ресурсов. Мы занимаемся следующими направлениями:

  • Защита от утечки конфиденциальной информации за пределы компании (DLP).
  • Защита от целенаправленных хакерских атак (APT).
  • Защита от DDOS.
  • Защита мобильных устройств (BYOD и MDM)
  • Аудит и проверка на уязвимость
  • Тесты на проникновение.

Бесплатную консультацию вы можете получить, обратившись к нам по телефону +38 044 355-07-70 или по адресу security@amica.ua.[/vc_column_text][/vc_column][/vc_row][vc_row row_padd=»sm-padding»][vc_column][vc_empty_space height=»5″][/vc_column][/vc_row]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *