Компания CloudFlare зафиксировала одну из самых крупных DDoS–атак, поток трафика на систему жертвы при которой превысил отметку в 400 Гбит/с, что на 100 Гбит/с больше, чем в результате прошлогодней атаки на Spamhaus.org.

Почти в то же время c атакой с интенсивностью в 350 Гбит/с столкнулся французский хостинг–оператор OVH. Атаки были организованы с использованием техники усиления трафика через необновлённые NTP–серверы. Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP–серверов неоднократно публиковались US–CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массированных атак.

Проверить свой NTP–сервис на уязвимость можно на сайте проекта OpenNTP.

По дополнительным данным, трафик в 400 Гбит/сек был сгенерирован с использованием всего 4529 уязвимых NTP–серверов, размещённых в 1298 различных сетях. В среднем каждый NTP–сервер генерировал в сторону жертвы поток с пропускной способностью 87 Mбит/сек. Для сравнения, в атаке на Spamhaus было задействовано 30956 открытых DNS–резолверов. Примечательно, что теоретически, так как NTP позволяет усилить трафик в 206 раз, для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт и размещённым в сети, допускающией спуфинг IP–адреса получателя.

Прогнозируется, что следующим шагом атакующих может стать вовлечение SNMP–серверов в качестве усилителей трафика. Теоретически, проблемный SNMP–сервер может обеспечить усиление трафика в 650 раз. В настоящее время уже фиксируются отдельные эксперименты атакующих с использованием SNMP.