Velik DDoS napad na CloudFlare

CloudFlare je povedal, da so bili včeraj in danes tarče enega največjih napadov DDoS, ki je presegal celo lanski napad na Spamhaus. Konični promet je dosegal vrednosti 400 Gb/s, kar je približno 100 Gb/s več od lanskega napada na Spamhaus.

Izvor in vzrok napada še nista znana. Storilce bo težko odkriti, saj so uporabili metodo povratnega napada prek NTP (NTP reflection attack). NTP (network time protocol) se uporablja za sinhronizacijo ur računalnikov, mogoče pa ga je tudi zlorabiti. Izvedba napada je že znana, obramba pa preprosta. Napad zlorabi ukaz monlist, ki deluje v verzijah NTP strežnikov pred 4.2.7p26. Strežnik se na ta ukaz odzove z dolgim odgovorom, v katerem navede nedavno zgodovino povezav NTP-odjemalcev. To je problematično že z varnostnega stališča omrežja, v katerem se nahaja ta strežnik, ker se je mogoče tako razgledati po omrežju.

Ker pa je odgovor bistveno daljši od ukaza, ga je mogoče uporabiti tudi za ojačenje (amplification) DDoS-napada. Napadalec v zahtevkih kot svoj IP-naslov navede naslov tarče (kar ni težko, ker NTP-zahtevki uporabljajo UDP) na katero vsi strežniki pošljejo odgovore, kar jo preobremeni. Že z nekaj deset megabiti kapacitete je tako mogoče organizirati več gigabitov težak napad.

Preventiva je preprosta, saj je treba zgolj nadgraditi verzijo programske opreme na 4.2.7 ali, kjer to ni mogoče, izključiti možnost monlist. Toda dokler tega ne storijo vsi, bodo takšni napadi mogoči, tarča pa ne bo imela možnost obrambe. Tovrstni napadi so se pojavljali že decembra.