〜4,300名可公开的服务器正在向互联网造成新的DDOS危险

2021-03-18 06:54:03

犯罪分子正在升高分布式拒绝服务攻击的效力,这是一种滥用广泛使用的互联网协议的技术,该协议大大增加了针对目标服务器所指示的垃圾流量。

DDOSES是攻击,该攻击泛滥网站或服务器的数据比它可以处理更多的数据。结果是试图连接到服务的人的拒绝服务。由于DDOS缓解服务开发了允许目标能够承受更大的交通流量的保护,犯罪分子以新的方式回应,以充分利用其有限的带宽。

在所谓的放大攻击中,DDosers向某些类型的中介服务器发送相对较小的数据大小的请求。然后,中介机构将目标响应发送,数百或数千次更大。重定向工作是因为请求将攻击者的IP地址替换为具有所针对的服务器的地址。

其他众所周知的放大向量包括具有令人震惊的数据库缓存系统,具有令人惊讶的51,000的放大因子,网络时间协议具有58因子的网络时间协议,并且具有50倍的DNS服务器的错误配置为50. DDOS缓解提供商NetScout在周三表示已观察到采用新扩增载体的DDOS-For-雇用服务。向量是数据报传输层安全性,或D / TLS(因为其名称表明)基本上是UDP数据包的传输层安全性。正如TLS阻止TLS数据包的窃听,篡改或伪造,对UDP数据的D / TL也相同。

滥用D / TLS允许攻击者将其攻击放大37倍。以前,NetScout仅使用滥用向量的专用DDOS基础架构看到高级攻击者。现在,所谓的靴子和压力服务 - 使用商品设备提供雇用攻击 - 已采用该技术。该公司已识别近4,300名可容易滥用的D / LTS服务器。

基于D / TLS的最大攻击NetScout观察到了大约45Gbps的流量。负责攻击的人将其与其他放大载体相结合,以达到约207Gbps的组合规模。

熟练的攻击者具有自己的攻击基础设施通常会发现,重新发现或改善放大矢量,然后使用它们对抗特定目标。最终,Word将通过新技术的论坛泄漏到地下。靴子/压力源服务然后做研究和逆向工程将其添加到他们的曲目中。

观察到的攻击由两个或更多个单独的矢量组成,以这样的方式策划,即目标通过同时讨论的载体击倒,“NetScout威胁情报经理Richard Hummel和公司的首席工程师Roland Dobbins在一封电子邮件中写道。 “这些多向量攻击是在线等同于组合手臂攻击的同等,而且对攻击卷的态度来说,这两个想法都是在攻击楼方面的压倒性,并提出更具挑战性的缓解场景。”

4,300个可滥用的D / TLS服务器是误导或过时的软件的结果,导致禁用的防欺骗机制。虽然机制内置于D / TLS规范,但包括Citrix NetScaller应用程序交付控制器的硬件并不总是默认将其打开。 Citrix最近鼓励客户逐渐升级到使用反欺骗的软件版本。

除了在大型互联网上对设备构成威胁外,可滥用的D / TLS服务器还将组织以风险为单位。从这些机器中的一台机器中反弹的攻击可以在组织网络内部的任务关键远程访问服务的全部或部分中断。攻击也可能导致其他服务中断。

NetScout的Hummel和Dobbins表示,由于D / TLS请求中的有效载荷的大小太大,因此攻击可能是挑战,以便在单个UDP数据包中符合初始和非初始数据包流。因此。

“当大UDP数据包分段时,初始碎片包含源头和目标端口号,”他们写道。 “非初始碎片没有;因此,当减轻由碎片化数据包组成的UDP反射/放大矢量,例如DNS或CLDAP反射/放大,防守者应确保它们所采用的缓解技术可以过滤滤除DDOS攻击流量的初始和非初始碎片有问题,没有超频合法的UDP非初始碎片。“