Новый тип DDoS-атаки может увеличить силу атаки более чем на 15 300%
Используя малоизвестный многоадресный протокол, злоумышленники могут запускать DDoS-атаки огромной мощности, но это может быть легко исправить.
Поставщик контента Akamai сообщает, что новый метод запуска атак распределенного отказа в обслуживании (DDoS) считается одним из самых опасных за все время.
Этот новый метод уже был замечен в дикой природе, и именно поэтому Akamai получил дополнительный уровень понимания: клиент Akamai игровой индустрии недавно подвергся атаке этого нового типа.
Наибольшее беспокойство, связанное с этой новой атакой, заключается в ее способности поглощать огромное количество полосы пропускания. Клиент, о котором упоминал Акамаи, видел пики до 35 ГБ / с во время их недавней атаки.
Как работает эта новая атака.
Существует ключевой многоадресный протокол, который делает возможным этот новый тип DDoS: WS-Discovery (WSD).
WSD не является широко известным протоколом, но он широко используется и может быть найден в тысячах подключенных к Интернету устройств. WSD - это протокол обнаружения, разработанный для обеспечения взаимодействия устройств IoT со стандартным языком, но у него есть проблема: он может быть подделан.
Дочерний сайт TechRepublic ZDNet сообщил о DDoS-атаках WSD в конце августа, дав краткое описание того, почему эта атака настолько серьезна: «Злоумышленник может отправить пакет UDP в службу WS-Discovery устройства с поддельным обратным IP-адресом. устройство отправляет ответ, оно отправляет его по поддельному IP-адресу, позволяя злоумышленникам перехватывать трафик на устройствах WS-Discovery и направлять его на желаемую цель своих DDoS-атак ».
Опасность от WS-Discovery.
ZDNet продолжил, что WSD-атаки не распространены из-за неясности протокола, используемого для его запуска, но это меняется. В последнее время произошел всплеск атак WSD, и с появлением новостей о том, что протокол стал общедоступным, риск, скорее всего, будет только расти.
Akamai отмечает, что WSD никогда не предназначался для работы в Интернете. Вместо этого он предназначался для использования в локальных сетях, чтобы устройства могли обнаруживать друг друга. Вместо этого, по словам Акамаи, производители устройств, подключенных к Интернету, вытеснили их с использованием неправильно используемого протокола.
ZDNet сообщает, что в Интернете можно обнаружить более 630 000 устройств, уязвимых к атакам WSD, что дает потенциальным злоумышленникам много точек усиления.
Как остановить атаку WS-Discovery.
Эта атака серьезна, но если Akamai корректен, он может быть простым. Тем не менее, если вы считаете, что устройства в вашей сети уязвимы, обязательно следуйте этим инструкциям: устранение векторов атак возможно только в том случае, если все предпримут правильные шаги.
Вот как просто первая часть: Просто заблокируйте исходный порт UDP 3702.
Однако это относится только к вашим серверам. По-прежнему будет происходить сбой трафика на ваших маршрутизаторах, а это значит, что вам нужно добавить список контроля доступа (ACL) на ваши маршрутизаторы.
Если у вас есть ACL в стиле Cisco:
ipv4 access-list [ИМЯ СПИСКА ДОСТУПА] 1 запрещает udp любого хоста eq 3702 [TARGET IP]
ipv4 access-list [ИМЯ ACCESS-LIST] 2 запрещает udp любого фрагмента хоста [TARGET IP]
Если у вас есть Linux iptables APL:
iptables -A INPUT -i [интерфейс] -p udp -m udp —спорт 3702 -j DROP
Акамаи рисует мрачную картину будущего WSD-атак: «Единственное, что мы можем сделать сейчас, - это дождаться, когда устройства, срок жизни которых составляет от 10 до 15 лет, вымирают, и надеяться, что они будут заменены более защищенной версией. «.
Это не значит, что вы ничего не можете сделать: примите надлежащие меры предосторожности, заблокировав порты, добавив списки ACL и установив критические обновления, которые могут снизить будущие риски.