The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

06.03.2018 12:19  Зафиксирована крупнейшая DDoS-атака с трафиком в 1.7 Тбит/сек

Компания Arbor Networks, совместно с Google поддерживающая интерактивную карту DDoS-атак, сообщила о выявлении крупнейшей в истории DDoS-атаки, в результате которой на систему жертвы был направлен поток в 1.7 терабит в секунду. Незадолго до этого компания Akamai выявила DDoS-атаку на GitHub с потоком в 1.3 Тбит/сек. В обоих случаях трафик был сгенерирован с использованием в качестве усилителя группы общедоступных memcached-серверов, о вовлечении которых в DDoS-атаки сообщалось на прошлой неделе.

Если ранее применявшиеся усилители трафика на базе NTP обеспечивали усиление до 556 раз и позволяли организовать атаки до 650 Гбит/cек, то memcached c усилением в 10-50 тысяч раз открыл эру терабитных атак. Напомним, что метод атаки с использованием усилителя трафика основан на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг).

Общедоступный memcached позволяет загрузить на сервер большой блок данных, а затем отправить по UDP поддельный GET-запрос от имени жертвы и эти данные будут отправлены на заданный IP (используется UDP-порт 11211). В сети выявлено около 93 тысяч общедоступных серверов Memcached, многие из которых за неделю с момента применения Memcached для DDoS-атак были закрыты, но число подобных систем остаётся достаточным для совершения рекордных атак.



  1. Главная ссылка к новости (https://www.arbornetworks.com/...)
  2. OpenNews: Зафиксировано использование Memcached в качестве усилителя трафика для DDoS-атак
  3. OpenNews: Релиз FastNetMon 1.1.2, открытого решения по обнаружению DDoS-атак
  4. OpenNews: Предупреждение о задействовании UPnP/SSDP в качестве усилителя DDoS-атак
  5. OpenNews: Открыт код Syncookied, системы защиты от DDoS-атак
  6. OpenNews: Анализ TTL помог выявить источник DDoS-атаки на GitHub
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ddos, memcached
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, commiethebeastie (ok), 12:27, 06/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +20 +/
    Спонсор атаки cloudflare?
     
     
  • 2.2, Начальник (?), 12:42, 06/03/2018 [^] [ответить]    [к модератору]
  • +/
    Ага, как раз недавно nginx push у себя прикрутили
     
  • 1.3, Аноним (-), 12:51, 06/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    А кого дудосили?
     
  • 1.5, Аноним (5), 13:05, 06/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    бигкомерц лежал вчера
     
     
  • 2.6, Аноним (-), 13:13, 06/03/2018 [^] [ответить]    [к модератору]
  • +12 +/
    > бигкомерц лежал вчера

    хз кто это, но судя по названию оно периодически ложится само по себе. ддос тут ни при чём

     
     
  • 3.83, Джон Ленин (?), 18:43, 15/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Внезапно. Если кто-то маркетгид так дудосит (мир хроник Ад блока), то я не против, пусть дудосит xD
    И ещё козено пукан, пожалуйста!
     
     
  • 4.84, Andrey Mitrofanov (?), 14:56, 16/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > не против, пусть дудосит xD
    > И ещё козено пукан, пожалуйста!

    Done. https://roskomsvoboda.org/37128/

    Или это дос гугля... я всё перепутал1

     
  • 1.7, Аноним (-), 13:28, 06/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    И если публичные NTP нельзя закрывать, то открытые Memcached это явный косяк админов.
     
     
  • 2.8, Аноним (-), 13:35, 06/03/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Эй, они просто скачали дропплет!
     
  • 2.9, ага (?), 14:13, 06/03/2018 [^] [ответить]    [к модератору]  
  • +18 +/
    Никому уже давно админы не нужны, подавай девопсов - оттуда и проблемы
     
     
  • 3.14, Crazy Alex (ok), 14:49, 06/03/2018 [^] [ответить]     [к модератору]  
  • –15 +/
    Скорее наоборот - админов не добили, оттуда и проблемы Собственно, почему и п... весь текст скрыт [показать]
     
     
  • 4.15, Аноним (-), 14:52, 06/03/2018 [^] [ответить]    [к модератору]  
  • +16 +/
    И вот результат "готовых решений"
     
     
  • 5.23, Crazy Alex (ok), 17:32, 06/03/2018 [^] [ответить]     [к модератору]  
  • –6 +/
    Мемкеш сейчас поднимается либо в виртуалке либо в контейнере В обоих случаях ... весь текст скрыт [показать]
     
     
  • 6.38, анон (?), 23:09, 06/03/2018 [^] [ответить]    [к модератору]  
  • +/
    а все потому что тем же недоадминам девопсам не хватает мозгов одну строку в фаере прописать разрешающее udp только с конкретных ip, а остальным денай
     
     
  • 7.39, Аноним (-), 23:16, 06/03/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Просто контейнер с фаером еще не выпустили.
     
  • 4.20, A (?), 16:07, 06/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Не согласен. Такая же мода сейчас на фуллстек разработчиков вместо отдельно взятых бэк- и фронт эндов.
     
     
  • 5.25, Аноним (-), 18:03, 06/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    но ведь фуллстек разработчики намного лучше понимаю как делать бекенд чтобы на фронтенде было легче и наоборот.
     
     
  • 6.27, Аноним (-), 20:09, 06/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > но ведь фуллстек разработчики намного лучше понимаю как делать бекенд чтобы на фронтенде было легче и наоборот.

    Нет, они не понимают зачем нужен забор, но хотят его снести.

     
     
  • 7.59, Аноним (-), 12:18, 07/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Нет, они не понимают зачем нужен забор, но хотят его снести.

    Раскроете мысль?

     
     
  • 8.79, анон (?), 04:47, 11/03/2018 [^] [ответить]     [к модератору]  
  • +/
    По опыту - эти рукоопы по факту ни бэкенд толком тянуть не могут, ни фронтенд А... весь текст скрыт [показать]
     
     
  • 9.82, Аноним (-), 10:14, 12/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Бред несёте Проще и правильнее, когда сам и фронт и бэк куенды пишешь Вы когда ч... весь текст скрыт [показать]
     
  • 4.21, Аноним (-), 16:23, 06/03/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Ну да, хрясь-хрясь и в продакшн. А что в этих готовых решениях -- пофиг.
     
     
  • 5.22, Crazy Alex (ok), 17:25, 06/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну вот готовое решение для мемкеша (пакет докера) наружу его порт не выпускает, чтобы выпустить - нужно дополнительно конфигурировать.
     
     
  • 6.44, нах (?), 06:44, 07/03/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    и как только горе-девопу становится нужно как-то добраться до содержимого контей... весь текст скрыт [показать]
     
     
  • 7.61, Аноним (-), 16:13, 07/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Вот вы напали на девопов А посмотрите на классического админа глазами коммерчес... весь текст скрыт [показать]
     
     
  • 8.62, нах (?), 16:30, 07/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    плохой, негодный из вас директор Годный сразу ответ находит - сколько-сколько у... весь текст скрыт [показать]
     
     
  • 9.63, Аноним (-), 16:38, 07/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Осталось объяснить -коммерческому- директору, что такое пять девяток Это что-то... весь текст скрыт [показать]
     
     
  • 10.66, Аноним (-), 19:06, 07/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Эй, вы там на Земле совсем деградировали? Кто это не знает, что такое пять девяток, и не может их пощупать?
     
  • 10.77, Michael Shigorin (ok), 00:32, 11/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Кажется, я только что прочитал отличный текст супротив страховщиков.
     
  • 4.48, Аноним (-), 08:01, 07/03/2018 [^] [ответить]     [к модератору]  
  • +/
    все точно как и говорите это как а давайте повесим на инженера электрика пожарну... весь текст скрыт [показать]
     
  • 2.17, Аноним (-), 15:00, 06/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Вам не кажется, что косяк тут - spoofing?
     
     
  • 3.33, Аноним (-), 21:30, 06/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Женя, залогиньтесь.
     
  • 3.41, Sw00p aka Jerom (?), 01:08, 07/03/2018 [^] [ответить]    [к модератору]  
  • +/
    ставь в дц на ix и спуфь скока влезит
     
  • 3.45, Аноним (-), 07:10, 07/03/2018 [^] [ответить]    [к модератору]  
  • +/
    КМК банальный rp filter на доступе сделал бы невозможными подобные вещи. Почему об этом не принято заботиться в сетевом админстве?
     
     ....нить скрыта, показать (26)

  • 1.11, Аноним (-), 14:19, 06/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –7 +/
    Эххх, когда же появится пункт в статье 274 УК РФ, чтобы хотя бы в России можно было отправить подметать улицы альтернативно-одарённых, которые выставляют уязвимые сервисы голой *опой в Интернет.
     
     
  • 2.12, XoRe (ok), 14:37, 06/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Мне кажется, от рунета там процентов 5 трафика Основные поставщики vps зарубежо... весь текст скрыт [показать]
     
  • 2.13, Аноним (-), 14:37, 06/03/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Т.е. смузихлёбов с докером наперевес? ДА!

    Получится зачётный дворник, с метлой и на гироскутере.

     
     
  • 3.16, Crazy Alex (ok), 14:55, 06/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Чисто для справки - в докере чтобы вывалить наружу порт надо специально пошевелиться, по умолчанию всё изолируется во внутренней сетке.
     
     
  • 4.18, Аноним (-), 15:34, 06/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Недавно только копал - не заметил специальных шевелений. Как ставишь --net host сразу всё вываливается наружу.
     
     
  • 5.24, Crazy Alex (ok), 17:40, 06/03/2018 [^] [ответить]    [к модератору]  
  • +/
    То есть явно отломать контейнеризацию сети - это нормально? Ну ок, что тут сказать. Чего тогда -A -t INPUT -j ACCEPT не добавить заодно?
     
     
  • 6.32, pavlinux (ok), 20:52, 06/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > тогда -A

    -I

     
     
  • 7.35, Crazy Alex (ok), 21:41, 06/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну да, не суть - я, к счастью, последние лет семь от этого далёк.
     
     
  • 8.57, забыл_пароль_от_тигар (?), 11:57, 07/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Ну да, не суть - я, к счастью, последние лет семь от
    > этого далёк.

    но мнение имеешь, да.

     
     
  • 9.67, Аноним (-), 19:11, 07/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Т е -I -t INPUT -j ACCEPT - это ок Тебе сказать, что снег - белый, - будешь д... весь текст скрыт [показать]
     
  • 8.78, Michael Shigorin (ok), 00:35, 11/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ну да, не суть - я, к счастью, последние лет семь от этого далёк.

    До того случайно не на Поздняках доводилось?..

     
  • 8.80, pavlinux (ok), 05:43, 11/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >  от этого далёк.

    Это не пропьёшь и не забудешь (проверено). айпитаблез уже года два не тюнил :)


     
  • 4.19, Анон12342 (?), 15:41, 06/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Обычно бридж настраивается, 1 контейнер - 1 ip.
     
     
  • 5.40, annual slayer (?), 00:39, 07/03/2018 [^] [ответить]    [к модератору]  
  • +/
    ССЗБ у кого такие контейнерные обычаи

    может, учились по stackoverflow, а не по докам

     
  • 3.52, Аноним (-), 10:00, 07/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    А потом окажется что если скутер немного доработать другими смузихлебами, чуть п... весь текст скрыт [показать]
     
  • 2.31, pavlinux (ok), 20:46, 06/03/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Идея хорошая, но если дать развитие, то начнут расстреливать за перенос гриппа, ... весь текст скрыт [показать]
     
     
  • 3.34, Аноним (-), 21:31, 06/03/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Носитель свиного гриппа не палится.
     
     
  • 4.81, pavlinux (ok), 05:45, 11/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Носитель свиного гриппа не палится.

    Тройку не пополнят пока анализы не сдашь :)

     
  • 3.53, Аноним (-), 10:02, 07/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Зато довольно просто в реализации Термодатчики и ИК камеры, выход на автоматиче... весь текст скрыт [показать]
     
  • 2.50, Аноним (-), 09:55, 07/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > уязвимые сервисы голой *опой в Интернет.

    Тогда все виндовые хомяки сядут с своими вечными дырами в SMB. Ну будет 90-95% населения в тюрьме, и дальше - чего?

     
     
  • 3.55, YetAnotherOnanym (ok), 11:30, 07/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Наступит ОН, столь давно ожидаемый linux-сообществом!
     
     
  • 4.56, Аноним (-), 11:34, 07/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Наступит ОН, столь давно ожидаемый linux-сообществом!

    Проблема в том что наступит не только ОН, но и много чего еще. Хотя так, говоря на чистоту, я бы подумал чтобы в надзиратели записаться.

     
  • 1.36, Sindzicat (?), 22:13, 06/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Добро пожаловать в эру терабитных атак.
     
  • 1.46, Аноним (-), 07:48, 07/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    девопс это конечно хорошо для конторы но как мне думается все просто хотят сэкон... весь текст скрыт [показать]
     
     
  • 2.51, Аноним (-), 09:57, 07/03/2018 [^] [ответить]     [к модератору]  
  • –5 +/
    Потому что мощный админ имел свойство много загибать пальцы и много околачивать ... весь текст скрыт [показать]
     
     
  • 3.58, забыл_пароль_от_тигар (?), 12:05, 07/03/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    и по итогу появился целый класс айтишников, которые и как программисты и как адм... весь текст скрыт [показать]
     
     
  • 4.70, Алког Олек (?), 06:03, 08/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > звание "девопс" чем-то хорошим

    Есть такое звание?
    (что-то показалось что это в общем процессе так сказать работы о стиле менежемента...)

     
     
  • 5.74, Аноним (-), 14:43, 09/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Есть такая профессия Нечто среднее между разработчиком, интегратором и админом,... весь текст скрыт [показать]
     
     
  • 6.75, А. О. (?), 19:45, 09/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Спец Ыалисты по всучиванию нерабочего так сказать субстанции с рекламной пляской... весь текст скрыт [показать]
     
     
  • 7.76, Аноним (-), 23:31, 10/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Девопсы всучиванием занимаются ровно столько же сколько и админы Они конечно со... весь текст скрыт [показать]
     
  • 4.73, Аноним (-), 14:36, 09/03/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Они в целом для команды в разы полезнее таких как ты Ты точно так же щеки надув... весь текст скрыт [показать]
     
     ....нить скрыта, показать (7)

  • 1.49, Аноним (-), 09:52, 07/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >  открыл эру терабитных атак.

    Ее помнится открыл mirai и довольно давно уже.

     
  • 1.60, amonymous (?), 13:24, 07/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Открытые редисы, мемкашеды и т.п. Явный намёк на квалификацию современных девопс.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor