Os principais DDoSers estão abusando dos servidores D / TLS para aumentar a potência dos ataques

16

Os criminosos estão aumentando a potência dos ataques de negação de serviço distribuídos com uma técnica que abusa de um protocolo de Internet amplamente usado que aumenta drasticamente a quantidade de tráfego de lixo direcionado aos servidores direcionados.

DDoSes são ataques que inundam um site ou servidor com mais dados do que ele pode suportar. O resultado é uma negação de serviço para as pessoas que tentam se conectar ao serviço. À medida que os serviços de mitigação de DDoS desenvolvem proteções que permitem que os alvos resistam a torrentes cada vez maiores de tráfego, os criminosos respondem com novas maneiras de aproveitar ao máximo sua largura de banda limitada.

Ficando empolgado

Nos chamados ataques de amplificação, os DDoSers enviam solicitações de tamanhos de dados relativamente pequenos para certos tipos de servidores intermediários. Os intermediários então enviam aos alvos respostas dezenas, centenas ou milhares de vezes maiores. O redirecionamento funciona porque as solicitações substituem o endereço IP do invasor pelo endereço do servidor visado.

Outros vetores de amplificação bem conhecidos incluem o memcached sistema de armazenamento em cache de banco de dados com um fator de amplificação de impressionantes 51.000, o Protocolo de Tempo da Rede com um fator de 58, e servidores DNS mal configurados com um fator de 50.

O provedor de mitigação de DDoS, Netscout, disse na quarta-feira que observou serviços de DDoS de aluguel adotando um novo vetor de amplificação. O vetor é o Segurança da camada de transporte de datagrama, ou D / TLS, que (como o nome sugere) é essencialmente o Segurança da Camada de Transporte para pacotes de dados UDP. Assim como o TLS impede a escuta, violação ou falsificação de pacotes TLS, o D / TLS faz o mesmo com os dados UDP.

Os DDoSes que abusam de D / TLS permitem que os invasores amplifiquem seus ataques por um fator de 37. Anteriormente, a Netscout via apenas invasores avançados usando infraestrutura DDoS dedicada abusando do vetor. Agora, os chamados serviços de booter e estressores, que usam equipamentos comuns para fornecer ataques de aluguel, adotaram a técnica. A empresa identificou quase 4.300 servidores D / LTS acessíveis ao público que são suscetíveis ao abuso.

Os maiores ataques baseados em D / TLS que a Netscout observou entregaram cerca de 45 Gbps de tráfego. As pessoas responsáveis ​​pelo ataque combinaram-no com outros vetores de amplificação para atingir um tamanho combinado de cerca de 207 Gbps.

Atacantes habilidosos com sua própria infraestrutura de ataque normalmente descobrem, redescobrem ou melhoram os vetores de amplificação e os usam contra alvos específicos. Eventualmente, a palavra vazará para o subsolo por meio de fóruns da nova técnica. Os serviços de reforço / estressor então pesquisam e fazem engenharia reversa para adicioná-los ao seu repertório.

Desafiante para mitigar

O ataque observado "consiste em dois ou mais vetores individuais, orquestrados de tal maneira que o alvo seja golpeado pelos vetores em questão simultaneamente", escreveram o gerente de inteligência de ameaças da Netscout, Richard Hummel, e o engenheiro principal da empresa, Ronald Dobbins. “Esses ataques de múltiplos vetores são o equivalente online de um ataque de armas combinadas, e a ideia é sobrecarregar os defensores em termos de volume de ataque e apresentar um cenário de mitigação mais desafiador.”

Os 4.300 servidores D / TLS abusáveis ​​são o resultado de configurações incorretas ou software desatualizado que faz com que um mecanismo anti-spoofing seja desativado. Embora o mecanismo seja integrado à especificação D / TLS, o hardware, incluindo o Controlador de entrega de aplicativos Citrix Netscaller, nem sempre o ativava por padrão. A Citrix mais recentemente encorajou os clientes a atualizar para uma versão de software que usa anti-spoofing por padrão.

Além de representar uma ameaça aos dispositivos na Internet em geral, os servidores D / TLS abusivos também colocam em risco as organizações que os utilizam. Ataques que desviam o tráfego de uma dessas máquinas podem criar interrupção total ou parcial dos serviços de acesso remoto de missão crítica dentro da rede da organização. Os ataques também podem causar outras interrupções no serviço.

Hummel e Dobbins da Netscout disseram que os ataques podem ser desafiadores para mitigar porque o tamanho da carga em uma solicitação D / TLS é muito grande para caber em um único pacote UDP e, portanto, é dividido em um fluxo de pacote inicial e não inicial.

“Quando grandes pacotes UDP são fragmentados, os fragmentos iniciais contêm números de porta de origem e destino”, escreveram. “Fragmentos não iniciais não; então, ao mitigar um vetor de reflexão / amplificação UDP que consiste em pacotes fragmentados, como DNS ou reflexão / amplificação CLDAP, os defensores devem garantir que as técnicas de mitigação que eles empregam possam filtrar os fragmentos iniciais e não iniciais do tráfego de ataque DDoS em questão, sem fazer overclock de fragmentos não iniciais UDP legítimos. ”

Netscout tem recomendações adicionais aqui.

Fonte: Ars Technica