ويكيبيديا
وقد وجدت المتسللين وسيلة لتضخيم وزعت هجمات الحرمان من الخدمة من قبل 51000 مرة لم يسبق لها مثيل القوة الأصلية في التطور الذي يقوله يمكن أن يؤدي إلى اعتداءات جديدة على إعداد السجلات تستخرج المواقع الإلكترونية والإنترنت بنية تحتية.
قراءة متعمقة
أساءت هجمات حجب الخدمة التي ألغت مواقع الألعاب الكبيرة مزامنة الويب لقد كثف المخربون protocolDDoS هجماتهم عن طريق الإرسال عدد صغير من حزم البيانات المصممة خصيصًا للعامة الخدمات المتاحة. الخدمات ثم الرد عن غير قصد من قبل إرسال عدد أكبر بكثير من الحزم غير المرغوب فيها إلى الهدف. ال ناقلات المعروفة لهذه الهجمات تضخيم DDoS سيئة خوادم نظام اسم المجال المضمونة ، والتي تتضخم وحدات التخزين بنسبة تصل إلى 50 أضعاف ، وبروتوكول وقت الشبكة ، والتي increases volumes by about 58 times.Cloudflare
يوم الثلاثاء ، أبلغ الباحثون المهاجمين يسيئون استخدام طريقة غامضة سابقا أن يسلم الهجمات 51000 مرات بهم الحجم الأصلي ، مما يجعلها إلى حد بعيد أكبر طريقة التضخيم تستخدم من أي وقت مضى في البرية. متجه هذه المرة هو memcached ، أ قاعدة بيانات نظام التخزين المؤقت لتسريع المواقع والشبكات. على في الأسبوع الماضي ، بدأ المهاجمون في استغلاله لتسليم DDoSes مع أحجام 500 غيغابت في الثانية وأكبر ، DDoS التخفيف ذكرت خدمة أربور نتوركس في منشور مدونة.
مسؤولون في شبكة تقديم المحتوى Cloudflare ، التي ذكرت الهجمات هنا ، وقال الهجمات التي يرون تأتي من أقل من 6000 خادم memcached التي يمكن الوصول إليها على شبكة الإنترنت. تظهر عمليات البحث أن هناك أكثر من 88000 مثل هذه الخوادم ، إشارة إلى أن هناك احتمال للهجمات لتصبح أكبر من ذلك بكثير.
وقال جون “هذا عامل تضخيم كبير بشكل استثنائي” غراهام كومينغ ، CTO لشبكة تسليم المحتوى Cloudflare ، من وأضاف أن هذا هو أكبر عامل تضخيم لديه من أي وقت مضى رأيت. “كنت أتوقع خلال الأسبوع المقبل أو هكذا سنرى بعض جدا هجمات كبيرة لأكثر من تيرابت واحد في الثانية القادمة منه. ”
جوناثان أزاريا ، باحث أمني في خدمة التخفيف من DDoS Imperva يقدر التكبير هو عامل من 9000 ل memcached و 557 ل NTP. كما قدر عدد memcache الخدمات المتاحة على شبكة الإنترنت عبر منفذ 11211 في 93000. على الرغم من استخدام مقاييس مختلفة ، فإن الأرقام تدعم الخلاف أن memcached يقدم عامل غير مسبوق من التضخيم و أن هناك مجموعة كبيرة من الخوادم المحتملة لسوء المعاملة.
قراءة متعمقة
Record-breaking DDoS reportedly delivered by >145k hackedcamerasSome من أكبر هجمات DDoS المعروفة علنا وقعت في 2016. في سبتمبر من ذلك العام ، تم الاستغناء عن KrebsOnSecurity بعد أيام من تلقي أحجام المرور غير المرغوب فيها والتي تجاوزت 620 جيجابت في الثانية. حول في نفس الوقت ، OVH ، مزود خدمة الإنترنت في فرنسا مضيف شعبية لخوادم الألعاب ، وقال انه تعرض لهجمات الوصول 1.1Tbps و 901Gbps.
هذه الهجمات تم تسليمها من قبل سلالة جديدة نسبيا الروبوتات تتكون من مئات الآلاف من أجهزة التوجيه المنزلية وغيرها ما يسمى إنترنت الأشياء الأجهزة. مجموعة متنوعة من العوامل – بما في ذلك سهولة اختراق الأجهزة ، صعوبة تأمينها ، والعدد الهائل منها – مسموح به الأوغاد لتجميع جيوش ضخمة من DDoS البيادق التي يمكن أن تكون تسخير في انسجام تام لتقديم مجلدات غير المرغوب فيها من القمامة حركة المرور.
DDoS المدرسة القديمة
هجمات هذا الشهر التي أساءت استخدام خوادم memcached عادت إلى هجمات DDoS الأقدم التي لا تتطلب روبوتات ضخمة. أعطها الخوادم لديها عادة الكثير من النطاق الترددي المتاحة لهم. بالاقتران مع التضخيم 51000 أضعاف التي تقدمها ، DDoSers لا تحتاج إلا إلى حفنة من الأجهزة لتسليم حمولة أولية. أن يجعل هذه التقنية متاحة لمجموعة أكبر بكثير من الناس ، بدلا من مجرد تلك التي تسيطر على الروبوتات الكبيرة.
“الآثار الجانبية المحتملة لل memcached انعكاس / تضخيم هجمات DDoS يمكن أن تكون كبيرة للغاية ، كما هذه الهجمات تحمل نسب انعكاس / تضخم عالية الاستفادة من عاكسات / مضخمات الصوت من فئة الخادم التي تتميز عادةً روابط الوصول إلى النطاق الترددي العالي والتي تتواجد في بيانات الإنترنت مراكز (IDCs) مع وصلات نقل عالية السرعة في المنبع ، “رولاند دوبينز ، المهندس الرئيسي في هندسة الأمن في أربور فريق الاستجابة ، كتب في آخر يوم الثلاثاء.
الهجمات تعمل لأن مجموعة متنوعة من الشبكات تكشف خوادم memcached إلى الإنترنت في الافتراضية الخاصة بهم غير آمنة ترتيب. بشكل عام ، يجب أن تكون أنظمة memcached لا يمكن الوصول إليها إلا على الشبكات المحلية ويجب الاحتفاظ بها بشكل آمن جدار الحماية. حتى الآن ، جاءت الهجمات من أكثر بقليل من 5700 عناوين IP فريدة من نوعها ، معظمها في أمريكا الشمالية وأوروبا.
EnlargeCloudflare
“أظن أن معظم هذه الخوادم memcached لا تحتاج أن تكون وقال جراهام كومينغ على شبكة الإنترنت العامة: “إنها مجرد لعبة خطأ “. وقال ان قلقه من تفاقم الهجمات تغذيها توافر المذكورة أعلاه أكثر من 88000 سيئة خوادم memcached المضمونة ، كما تم قياسها بواسطة بحث Shodan محرك.
EnlargeCloudflare
لتسخير إمكانات الهجوم الضخمة للخوادم ، DDoSers إرسالها عددًا صغيرًا نسبيًا من الحزم المستندة إلى UDP تم التلاعب بها لتظهر كما لو أنها أرسلت من قبل المقصود استهداف. تستجيب الخوادم memcached بإرسال الهدف استجابة واسعة النطاق. تؤكد الهجمات مرة أخرى على الجمهور مصدر إزعاج ينتج عن مزودي الخدمة الذين لا يزالون يسمحون بـ UDP الحزم المراد خداعها لتزييف المرسل الحقيقي.
تقوم Cloudflare بتقديم النصح لموفري الشبكات الذين يقومون بنشر memcached خوادم لتعطيل دعم UDP عندما يكون ذلك ممكنا. في كثير من الحالات، حركة المرور القائمة على TCP تكفي. أربور نتوركس ، وفي الوقت نفسه ، توصي أن مشغلي الشبكات “تنفيذ شبكة مناسبة الظرفية سياسات الوصول على حافة مركز بيانات الإنترنت (IDC) من أجل الدرع memcached عمليات النشر غير المصرح به UDP / 11211 و TCP / 11211 المرور من الإنترنت العامة. في جميع الحالات ، الخوادم يجب أن يكون جدار الحماية من الإنترنت.
تم تحديث هذا المنشور لتصحيح اسم Imperva.