Rekommenderas, 2019

Redaktionen

Speltjänster, värdföretag slog med ny typ av DDoS-attack

Spel och värdföretag har blivit träffade med en ny typ av DDoS-attack som kunde snöboll utan förebyggande steg, varnade Level 3 Communications på måndag.

Attackers har funderat på hur man missbrukar portkartstjänster som har lämnats öppet tillgängliga på Internet, säger Dale Drew, chefsäkerhetschef för nivå 3.

"Vi tycker att det kan vara mycket, väldigt dåligt", sa Drew.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Portmap, även kallad RPCbind, är ett open source-verktyg för Unix-system men finns också i Windows. Det kartlägger nätverksportnummer till tillgängliga tjänster.

Till exempel kan portkarta användas om någon vill montera en Windows-enhet från ett Unix-filsystem. Portmap skulle berätta för Unix där enheten ligger och rätt portnummer.

Problemet är att många organisationer har lämnat portkarta öppet på Internet, så att angripare kan kontakta den, sade Drew.

Om portkarta är frågad, det kan i vissa fall reagera med en mycket stor mängd data. Drew sa att angriparna kontaktar öppna portmapservrar, frågar frågor men sedan riktar svaren till offerorganisationer. UDP-trafiken överväger deras nätverk, säger Drew.

Metoden kallas DDoS-amplifieringsattack. Beroende på förfrågan skickad till portkarta, skickar verktyget mellan sju till 27 gånger trafiken tillbaka - eller till ett offer.

I december utförde angripare förödande DDoS-förstärkningsattacker med hjälp av fjärrkodssårbarheter i nätverksprotokollet (NTP ), som synkroniserar klockor över datorer.

NTP DDoS-attackerna var några av de största som någonsin sett, sade Drew. Han tror att portkarta situationen kunde konkurrera med NTP-problemet, varför Level 3 bestämde sig för att gå offentligt med sina resultat.

Omkring 1 miljon maskiner kör portkarta som är öppen för Internet, Nivå 3 hittades. "

" Vi var väldigt mycket förvånad över att se hur många Unix-maskiner som körde denna [portmap] på det offentliga Internetet, säger Drew.

Fixen, Drew sa, är lätt: portmap protokollet ska filtreras för att vara skyddat från det offentliga Internet. > Under de senaste veckorna har nivå 3 tittat på attackerna förfina sina metoder. De största attackerna inträffade mellan 10 och 12 augusti, enligt ett blogginlägg från nivå 3.

Nivå 3 har en lista över alla öppna portkarta servrar och har kontaktat sina egna kunder som kör portkarta. Det har också skickat listan till vissa Internetleverantörer, så att de kan meddela sina kunder att de ska fixa portkarta.

Drew sa att han har en uppfattning om attackerna, men nivå 3 släpper inte tillskrivningsinformation eftersom det kan påverka sin förmåga att spåra dem.

"Vi tittar på hur de dåliga killarna reagerar på det och om de utvecklas och förändras och modifieras," sa han.

Top