美国服务提供商幸存历史上最大的DDoS

滥用安全性差的服务器的新技术正在助长破纪录的拒绝服务攻击,同时要求目标支付巨额赎金以阻止垃圾流量的泛滥。

进一步阅读野生DDoS使用新的方法来达到上周报道的难以想象的规模,一个用于加速网站和网络的数据库缓存系统memcached让DDoS恶意软件以前所未有的5.1万倍的速度扩大攻击。也就是说,一台每秒从ISP上传100兆比特的家用电脑至少在理论上能够以每秒5兆比特的流量轰击目标。

在发现野生DDoS破坏者滥用开放的memcached服务器后,研究人员上周预测了新一轮的记录攻击。两天后,DDoS缓解服务Akamai / Prolexic报告了针对Github的1.3 bps攻击,略高于2016年创下的记录。

周一,来自另一个DDoS缓解服务Arbor Networks的研究人员报告了1.7 tbps DDoS,该DDoS也依赖于新记录的memcached扩增方法。攻击的目标是一家美国服务提供商的未具名客户。尽管这是有记录以来最大的DDoS报告,但据报道客户和ISP没有扣上。阿伯全球销售工程和运营副总裁卡洛斯·莫拉莱斯写道:“

这证明了该服务提供商在防范此类攻击方面的防御能力,没有因为此类攻击而报告中断。”。

支付,或者elseResearchers也报告说,许多潜在的瘫痪攻击都伴随着赎金要求,大概是为了阻止数据泛滥。安全公司https的研发工程师西里尔·瓦利卡里说,开放的memcached服务器包括一个接受任何人输入的缓存。一些滥用服务器传递DDOS的攻击者在钱包中附上了单词 Pay 50 XMR 以及地址。正如下面的截图所示,在传递给目标的有效载荷中,消息被一遍又一遍地重复,试图耗尽他们可用的网络带宽。以目前被称为Monero的数字货币的价格计算,50 XMR的价值约为18,415美元。阿卡迈的发言人说,上周针对吉卜赛人的1.3 bps攻击包括相同或相似的赎金要求。

虽然在野外看到的大多数支持memcached的攻击包括比原始容量大约1万倍的响应,但内容传递网络Cloudflare的CTO John Graham - Cumming告诉Ars,他看到一次攻击,放大倍数为5.1万。当然,交付给目标的实际卷取决于被滥用服务器的可用带宽,这可能会限制依赖这种技术的DDoS大小。

目标不应该支付赎金有几个很好的理由。其中最关键的是:所有上报的需求都使用同一个钱包地址。这将使ddoservers难以跟踪哪些目标已经支付了费用,哪些目标拒绝了。由于没有简单的跟踪机制,攻击者不可能有自动的方法来阻止对付费目标的攻击。除此之外,付钱给攻击者只会鼓励未来更多的非法行为。为DDoS缓解服务付费对目标更有意义。

藐视最佳实践这种新的扩增技术是通过藐视至少两种最佳实践来实现的。首先是仍然允许伪造的UDP数据包通过其网络的网络服务提供商。第二个罪魁祸首是暴露在互联网上的memcached服务器。攻击通过向打开的memcached服务器发送查询来起作用。这些查询被操纵以使它们看起来像是源自DDoS的预期目标。上周,研究人员估计,大约有九万三千台memcached服务器不当地接受互联网上任何人的输入。

如果各地的提供商都部署了措施,防止在其网络上欺骗UDP流量,并关闭其托管的所有公共可用memcached服务器,那么新的放大技术将不再可用。本周一公布的新创纪录的DDoS显示,相当多的供应商尚未采取这些常识性措施。

Post已更新,以更正第二段中的带宽计算。