Intel Security

Insecure in Security – ”Nya Ddos-attacker möjliggörs av slarv och förbiseenden”

Blogginlägg   •   Feb 25, 2014 17:14 CET

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.

Veckans sammandrag handlar om världens största ddos-attack och hur den typen av sabotage blir allt enklare att genomföra.

Nya Ddos-attacker möjliggörs av slarv och förbiseenden
Den 13 februari uppmärksammades den största ddos-attacken som någonsin ägt rum. Målet för attacken låg i Frankrike och trafiken uppmättes till hela 400Gbps under attackens gång. Det finns dessvärre inga tecken på att antalet ddos-attacker eller deras storlek kommer att minska – snarare så visar rapporter på den totala motsatsen. Ett flertal rapporter från företag som utsatts för attacker har uppmätt dessa till 100Gbps och trenden visar även att magnituden av attackerna bara ökar – förra årets mest omfattande attack uppmättes till 309Gbps vilket alltså redan nu toppats avsevärt.

Mindre omfattande, men ofta förödande, attacker på 20Gbps blev samtidigt åtta gånger vanligare under 2013 jämfört med 2012. Dessutom finner de som utför attackerna ständigt nya sätt att generera dessa extrema mängder trafik på. Ett rekord på 300Gbps har tidigare uppmätts och då användes över 30 000 datorer i attacken. Hur många datorer tror du användes för att uppnå 400Gbps? Svaret är ”endast” 4529 stycken – och det är det som är det kanske mest skrämmande.

En av anledningarna till den ökade datamängden i den här typen av attacker är att användarna har hittat listiga sätt att förstärka attackerna. Vid rekordangreppet användes en function i NTP (Network Time Protocol), the MONLIST command. Lite förenklat fungerar det så här - jag frågar dig vad klockan är och ber dig ge svaret till en annan person – plus leverera namnet på de 600 senaste personer som frågat dig vad klockan är. Den något utdragna monologen du levererar är minst sagt påfrestande för mottagaren – och samma sak gäller en server.  Tekniken kallas för ”amplification” där jag som attackerande spenderar några sekunder på att fråga vad klockan är och svaret kommer ta upp större delen av din dag. Tänk dig nu att jag, istället för att fråga en person, frågade 4529 personer.

MONLIST-förfrågan skickades i det här fallet till en NTP-server och servern svarade genom att förse den frågade med tiden och de 600 senaste IP-adresserna som frågat samma sak. Genom att låtsas vara målet för attacken genom en förfalskad IP-adress så skickades samtliga svar till målet.


Denna typ av attack kan öka storleken på en enda förfrågan med 200 gånger originalstorleken, och självklart är denna och liknande tekniker för att förstärka attack extremt populära då lite information kan växa och bli astronomisk.

Svagheten i NTP som gör att denna typ av attack är möjlig upptäcktes första gången i augusti förra året vilket betyder att administratörerna för publika NTP-servrar haft ett halvt år på sig att lösa problemet. När man ser till vilka nätverk som användes i attacken så hittar man även en hel del välkända och stora företag som utnyttjats i attackerarnas botnet.

En grundläggande orsak till att denna typ av attacker blir vanligare är att alltför många kopplar upp servrar mot internet utan att skydda dem korrekt. Även om nätverket från början är korrekt konfigurerat så saknar de flesta organisation antingen strukturen eller resurserna för att kontinuerligt monitorera hot mot de tjänster och lösningar de installerat. Att hålla sig uppdaterad på de senaste hoten mot ens externa tjänster och lösningar behöver inte vara komplext alls. Jag har konfigurerat Google Alerts för att hålla mig uppdaterad angående svagheter som upptäcks för de externa tjänster som jag driver från mitt hemmanätverk.

Det existerar dock viss förvirring här då många tror att ddos-attacker i stort är svåra att stoppa – vilket inte alltid är sant. Det finns en mängd olika typer och metoder som kan användas i en ddos-attack. Motmedel för de flesta av dessa finns idag i form av kompetenta säkerhetslösningar som enkelt integreras i en befintlig infrastruktur. Trots det så lever mantrat ”det kommer inte att hända mig” kvar trots alla bevis på motsatsen, och stora institutioner som SJ kan därför enkelt sänkas av några sura tonåringar.

När en attack som den jag beskrev i början påbörjats och extrema mängder data strömmar till ditt nätverk så är det dessvärre inte mycket mer man kan göra utom att försöka rida ut stormen – den som kan hjälpa dig då är din internetleverantör. Det är ett kontaktnummer som är bra att ha i huvudet.