Rekommenderas, 2019

Redaktionen

Attackers missbrukar allt oftare osäkra routrar och andra hemanordningar för DDoS-attacker

Attackers använder sig av routrar och andra enheter som svarar på UPnP (Universal Plug and Play) -förfrågningar via Internet för att förstärka distribuerade deial-of-service-attacker.

En rapport som släpptes på tisdagen av molnleverantören Akamai Technologies visar att antalet DDoS-attacker ökar. Under andra kvartalet 2015 ökade det med 7 procent jämfört med de föregående tre månaderna och med 132 procent jämfört med samma period föregående år. Företagets uppgifter avslöjade. Totalt sett angavs attacker mindre kraftfulla attacker, men varaktigheten var längre . Ändå såg företaget 12 attacker som översteg 100Gbps under andra kvartalet och fem som toppade över 50 miljoner paket per sekund.

Mycket få organisationer har den infrastruktur som krävs för att hantera sådana attacker på egen hand. Den största som registrerades under andra kvartalet över Akamai's Prolexic Routed-nätverk toppade på 214Mpps och kunde störa high-end routrar som används av Internetleverantörer, säger företaget.

SYN-översvämningar och Simple Service Discovery Protocol (SSDP) -reflektionen var de mest DDoS-vektorer som används, svarar för 16 procent respektive 15,8 procent av attacker.

DDoS-reflektion är en teknik där attackerar skickar förfrågningar med en spoofed-källa IP-adress (Internet Protocol) till tredje parts datorer, vilket får dem att skicka svar till den adressen istället för den ursprungliga avsändaren. Den spoofed IP-adressen tillhör det avsedda offeret.

Om originalpaketet är mindre än de genererade svaren har tekniken också en förstärkningseffekt eftersom det tillåter angripare att generera mer trafik än vad deras tillgängliga bandbredd normalt skulle tillåta genom att reflektera det via andra datorer.

Amplifieringsfaktorn beror på vilket protokoll som används. Säkerhetssystem (DNS) och NTP-servrar (Network Time Protocol) har upprepade gånger missbrukats under de senaste åren för att generera stora DDoS-attacker.

Attackers började använda SSDP för DDoS reflektion och förstärkning under sista kvartalet 2014 och har sedan dess blivit en av deras favorittekniker. Även om protokollet har en lägre förstärkningsfaktor än DNS eller NTP, har den en stor fördel: den används av miljontals sårbara enheter spridda runt om i världen som inte kommer att patchas.

SSDP är en del av Universal Plug and Play (UPnP) uppsättning nätverksprotokoll som låter enheter upptäcka varandra och upprätta funktionella tjänster utan manuell konfiguration.

Protokollet är avsett att användas inom små hem- och företagsnätverk, men det finns ett stort antal routrar och andra enheter som är konfigurerade för att svara på SSDP-frågor via Internet, vilket gör dem potentiella DDoS-reflektorer.

Enligt Shadowserver Foundation, en frivillig organisation som främjar Internet-säkerhet finns det för närvarande cirka 12 miljoner IP-adresser på Internet som har en öppen SSDP-tjänst.

SSDP-reflektionsvektorn har inte varit föremål för samma typ av rengöringsansträngningar som NTP och DNS eftersom de flesta av de utnyttjade enheterna är konsumentenheter och inte servrar, sade Akamai-forskare i rapporten.

Deras ägare är vanligtvis hemmabrukare som sannolikt inte inser att deras enheter deltar i attacker, sa de. "Även om de märker sakta i sina nätverk, kanske de inte har expertisen att felsöka, mildra eller upptäcka orsaken."

Top