The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Зафиксирована крупнейшая DDoS-атака с трафиком в 1.7 Тбит/сек

06.03.2018 12:19

Компания Arbor Networks, совместно с Google поддерживающая интерактивную карту DDoS-атак, сообщила о выявлении крупнейшей в истории DDoS-атаки, в результате которой на систему жертвы был направлен поток в 1.7 терабит в секунду. Незадолго до этого компания Akamai выявила DDoS-атаку на GitHub с потоком в 1.3 Тбит/сек. В обоих случаях трафик был сгенерирован с использованием в качестве усилителя группы общедоступных memcached-серверов, о вовлечении которых в DDoS-атаки сообщалось на прошлой неделе.

Если ранее применявшиеся усилители трафика на базе NTP обеспечивали усиление до 556 раз и позволяли организовать атаки до 650 Гбит/cек, то memcached c усилением в 10-50 тысяч раз открыл эру терабитных атак. Напомним, что метод атаки с использованием усилителя трафика основан на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг).

Общедоступный memcached позволяет загрузить на сервер большой блок данных, а затем отправить по UDP поддельный GET-запрос от имени жертвы и эти данные будут отправлены на заданный IP (используется UDP-порт 11211). В сети выявлено около 93 тысяч общедоступных серверов Memcached, многие из которых за неделю с момента применения Memcached для DDoS-атак были закрыты, но число подобных систем остаётся достаточным для совершения рекордных атак.



  1. Главная ссылка к новости (https://www.arbornetworks.com/...)
  2. OpenNews: Зафиксировано использование Memcached в качестве усилителя трафика для DDoS-атак
  3. OpenNews: Релиз FastNetMon 1.1.2, открытого решения по обнаружению DDoS-атак
  4. OpenNews: Предупреждение о задействовании UPnP/SSDP в качестве усилителя DDoS-атак
  5. OpenNews: Открыт код Syncookied, системы защиты от DDoS-атак
  6. OpenNews: Анализ TTL помог выявить источник DDoS-атаки на GitHub
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48212-ddos
Ключевые слова: ddos, memcached
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (67) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, commiethebeastie (ok), 12:27, 06/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +20 +/
    Спонсор атаки cloudflare?
     
     
  • 2.2, Начальник (?), 12:42, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, как раз недавно nginx push у себя прикрутили
     

  • 1.3, Аноним (-), 12:51, 06/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А кого дудосили?
     
  • 1.5, Аноним (5), 13:05, 06/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    бигкомерц лежал вчера
     
     
  • 2.6, Аноним (-), 13:13, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > бигкомерц лежал вчера

    хз кто это, но судя по названию оно периодически ложится само по себе. ддос тут ни при чём

     
     
  • 3.83, Джон Ленин (?), 18:43, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Внезапно. Если кто-то маркетгид так дудосит (мир хроник Ад блока), то я не против, пусть дудосит xD
    И ещё козено пукан, пожалуйста!
     
     
  • 4.84, Andrey Mitrofanov (?), 14:56, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > не против, пусть дудосит xD
    > И ещё козено пукан, пожалуйста!

    Done. https://roskomsvoboda.org/37128/

    Или это дос гугля... я всё перепутал1

     

  • 1.7, Аноним (-), 13:28, 06/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    И если публичные NTP нельзя закрывать, то открытые Memcached это явный косяк админов.
     
     
  • 2.8, Аноним (-), 13:35, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Эй, они просто скачали дропплет!
     
  • 2.9, ага (?), 14:13, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Никому уже давно админы не нужны, подавай девопсов - оттуда и проблемы
     
     
  • 3.14, Crazy Alex (ok), 14:49, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • –15 +/
    Скорее наоборот - "админов" не добили, оттуда и проблемы. Собственно, почему и пошла замена админов на девопсов - у тех для того же результата требуется в сумме меньше мозгов, так как применяются в основном готовые решения. Умных людей как было мало так и есть, а спрос на администрирование всё больше - так что либо будут либо идиоты, либо автоматика и те, кто берёт готовые кубики.
     
     
  • 4.15, Аноним (-), 14:52, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +16 +/
    И вот результат "готовых решений"
     
     
  • 5.23, Crazy Alex (ok), 17:32, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Мемкеш сейчас поднимается либо в  виртуалке либо в  контейнере. В обоих случаях он должен смотреть наружу, ну а UDP для него вообще самый естественный протокол - он и сам сохранение кэша не гарантирует, зачем сетевые гарантии? Так что дефолтная конфа вполне логична.

    Больше того, контейнер так просто в мир его не выпустит, это надо отдельно докручивать. Для виртуалок же "готовых решений", интегрирующих их в пределах инфраструктуры как-то не видать, во всяком случае массово. Так что там только админ может решить, кого куда пускать.

    Дефолт - он должен быть хорошим для самых распространённых случаев, а не для ульев-быдлoхостингов (где мемкеша, собственно, и нет почти).

     
     
  • 6.38, анон (?), 23:09, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а все потому что тем же недоадминам девопсам не хватает мозгов одну строку в фаере прописать разрешающее udp только с конкретных ip, а остальным денай
     
     
  • 7.39, Аноним (-), 23:16, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Просто контейнер с фаером еще не выпустили.
     
  • 4.20, A (?), 16:07, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не согласен. Такая же мода сейчас на фуллстек разработчиков вместо отдельно взятых бэк- и фронт эндов.
     
     
  • 5.25, Аноним (-), 18:03, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    но ведь фуллстек разработчики намного лучше понимаю как делать бекенд чтобы на фронтенде было легче и наоборот.
     
     
  • 6.27, Аноним (-), 20:09, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > но ведь фуллстек разработчики намного лучше понимаю как делать бекенд чтобы на фронтенде было легче и наоборот.

    Нет, они не понимают зачем нужен забор, но хотят его снести.

     
     
  • 7.59, Аноним (-), 12:18, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет, они не понимают зачем нужен забор, но хотят его снести.

    Раскроете мысль?

     
     
  • 8.79, анон (?), 04:47, 11/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    По опыту - эти рукоопы по факту ни бэкенд толком тянуть не могут, ни фронтенд А... текст свёрнут, показать
     
     
  • 9.82, Аноним (-), 10:14, 12/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Бред несёте Проще и правильнее, когда сам и фронт и бэк куенды пишешь Вы когда ч... текст свёрнут, показать
     
  • 4.21, Аноним (-), 16:23, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну да, хрясь-хрясь и в продакшн. А что в этих готовых решениях -- пофиг.
     
     
  • 5.22, Crazy Alex (ok), 17:25, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вот готовое решение для мемкеша (пакет докера) наружу его порт не выпускает, чтобы выпустить - нужно дополнительно конфигурировать.
     
     
  • 6.44, нах (?), 06:44, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    и как только горе-девопу становится нужно как-то добраться до содержимого контей... большой текст свёрнут, показать
     
     
  • 7.61, Аноним (-), 16:13, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот вы напали на девопов. А посмотрите на классического админа глазами коммерческого директора: сидит в консоли, на форумах тусуется, книжечки непонятные почитывает. Результат его работы где? Всё и так работает. Выгнать такого админа, он лишний едок зарплатного фонда.
    А девоп какие-то новые сервисы постоянно запускает. Премию ему. Его результат работы сразу видно.

    По каким результатам оценивать работу админа?

     
     
  • 8.62, нах (?), 16:30, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    плохой, негодный из вас директор Годный сразу ответ находит - сколько-сколько у... текст свёрнут, показать
     
     
  • 9.63, Аноним (-), 16:38, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Осталось объяснить -коммерческому- директору, что такое пять девяток Это что-то... текст свёрнут, показать
     
     
  • 10.66, Аноним (-), 19:06, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эй, вы там на Земле совсем деградировали Кто это не знает, что такое пять девят... текст свёрнут, показать
     
  • 10.77, Michael Shigorin (ok), 00:32, 11/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кажется, я только что прочитал отличный текст супротив страховщиков ... текст свёрнут, показать
     
  • 4.48, Аноним (-), 08:01, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    все точно как и говорите это как а давайте повесим на инженера электрика пожарную охранную и.д системы а потом удивляются а чейто самолеты то падают итанки не едут начинают искать виноватых а менеджера который все придумал уже и нет и не найдеш его зато сэкономили.А мож специально придумали девов и эту идеологию для того чтоб максимально усложнить развитие технологий у всех кроме америки как пример в нете полно видео о сборке всяких перпетум мобиле и электронных схем но они не работают спрашивается зачем это публиковать с какой целью?
     
  • 2.17, Аноним (-), 15:00, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вам не кажется, что косяк тут - spoofing?
     
     
  • 3.33, Аноним (-), 21:30, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Женя, залогиньтесь.
     
  • 3.41, Sw00p aka Jerom (?), 01:08, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ставь в дц на ix и спуфь скока влезит
     
  • 3.45, Аноним (-), 07:10, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    КМК банальный rp filter на доступе сделал бы невозможными подобные вещи. Почему об этом не принято заботиться в сетевом админстве?
     

  • 1.11, Аноним (-), 14:19, 06/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Эххх, когда же появится пункт в статье 274 УК РФ, чтобы хотя бы в России можно было отправить подметать улицы альтернативно-одарённых, которые выставляют уязвимые сервисы голой *опой в Интернет.
     
     
  • 2.12, XoRe (ok), 14:37, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Эххх, когда же появится пункт в статье 274 УК РФ, чтобы хотя
    > бы в России можно было отправить подметать улицы альтернативно-одарённых, которые выставляют
    > уязвимые сервисы голой *опой в Интернет.

    Мне кажется, от рунета там процентов 5 трафика.
    Основные поставщики vps зарубежом.

     
  • 2.13, Аноним (-), 14:37, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Т.е. смузихлёбов с докером наперевес? ДА!

    Получится зачётный дворник, с метлой и на гироскутере.

     
     
  • 3.16, Crazy Alex (ok), 14:55, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Чисто для справки - в докере чтобы вывалить наружу порт надо специально пошевелиться, по умолчанию всё изолируется во внутренней сетке.
     
     
  • 4.18, Аноним (-), 15:34, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Недавно только копал - не заметил специальных шевелений. Как ставишь --net host сразу всё вываливается наружу.
     
     
  • 5.24, Crazy Alex (ok), 17:40, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    То есть явно отломать контейнеризацию сети - это нормально? Ну ок, что тут сказать. Чего тогда -A -t INPUT -j ACCEPT не добавить заодно?
     
     
  • 6.32, pavlinux (ok), 20:52, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > тогда -A

    -I

     
     
  • 7.35, Crazy Alex (ok), 21:41, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну да, не суть - я, к счастью, последние лет семь от этого далёк.
     
     
  • 8.57, забыл_пароль_от_тигар (?), 11:57, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    но мнение имеешь, да ... текст свёрнут, показать
     
     
  • 9.67, Аноним (-), 19:11, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Т е -I -t INPUT -j ACCEPT - это ок Тебе сказать, что снег - белый, - будешь д... текст свёрнут, показать
     
  • 8.78, Michael Shigorin (ok), 00:35, 11/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    До того случайно не на Поздняках доводилось ... текст свёрнут, показать
     
  • 8.80, pavlinux (ok), 05:43, 11/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это не пропьёшь и не забудешь проверено айпитаблез уже года два не тюнил ... текст свёрнут, показать
     
  • 4.19, Анон12342 (?), 15:41, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно бридж настраивается, 1 контейнер - 1 ip.
     
     
  • 5.40, annual slayer (?), 00:39, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ССЗБ у кого такие контейнерные обычаи

    может, учились по stackoverflow, а не по докам

     
  • 3.52, Аноним (-), 10:00, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Получится зачётный дворник, с метлой и на гироскутере.

    А потом окажется что если скутер немного доработать другими смузихлебами, чуть покруче, железка сама сможет гонять с метлой. И эра дворников внезапно закончится.

     
  • 2.31, pavlinux (ok), 20:46, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Эххх, когда же появится пункт в статье 274 УК РФ, чтобы хотя бы в России можно было отправить
    > подметать улицы альтернативно-одарённых, которые выставляют уязвимые сервисы голой *опой в
    > Интернет.

    Идея хорошая, но если дать развитие, то начнут расстреливать за перенос гриппа,
    а то и сразу тех, у кого температура выше или ниже 36.6°C

     
     
  • 3.34, Аноним (-), 21:31, 06/03/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Носитель свиного гриппа не палится.
     
     
  • 4.81, pavlinux (ok), 05:45, 11/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Носитель свиного гриппа не палится.

    Тройку не пополнят пока анализы не сдашь :)

     
  • 3.53, Аноним (-), 10:02, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а то и сразу тех, у кого температура выше или ниже 36.6°C

    Зато довольно просто в реализации. Термодатчики и ИК камеры, выход на автоматическую туррель. Идилия, даже пулеметчик не нужен. Цифровизация во все поля.

     
  • 2.50, Аноним (-), 09:55, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > уязвимые сервисы голой *опой в Интернет.

    Тогда все виндовые хомяки сядут с своими вечными дырами в SMB. Ну будет 90-95% населения в тюрьме, и дальше - чего?

     
     
  • 3.55, YetAnotherOnanym (ok), 11:30, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Наступит ОН, столь давно ожидаемый linux-сообществом!
     
     
  • 4.56, Аноним (-), 11:34, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Наступит ОН, столь давно ожидаемый linux-сообществом!

    Проблема в том что наступит не только ОН, но и много чего еще. Хотя так, говоря на чистоту, я бы подумал чтобы в надзиратели записаться.

     

  • 1.36, Sindzicat (?), 22:13, 06/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Добро пожаловать в эру терабитных атак.
     
  • 1.46, Аноним (-), 07:48, 07/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    девопс это конечно хорошо для конторы но как мне думается все просто хотят сэкономить деньги в другом случае надо держать мощного админа и не одного и тестера прогера обученных на взаимодействие при разработке чтоб умели между собой контачить по любым вопросам а тута как всегда а давайте сэкономим :сказал эффективный менеджер и придумал девопса
     
     
  • 2.51, Аноним (-), 09:57, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Потому что мощный админ имел свойство много загибать пальцы и много околачивать груши, желая офигенно мощную зарплату, при маргинальной пользе для команды.

    Менеджер посмотрел и прикинул: расход бабла не пропорционален результату. И понял что команде на самом деле нужен другой человек. Который или будет получать в три раза меньше, или будет уметь в три раза больше, а платить за околачивание груш - так и вообще моветон.

     
     
  • 3.58, забыл_пароль_от_тигар (?), 12:05, 07/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Потому что мощный админ имел свойство много загибать пальцы и много околачивать
    > груши, желая офигенно мощную зарплату, при маргинальной пользе для команды.
    > Менеджер посмотрел и прикинул: расход бабла не пропорционален результату. И понял что
    > команде на самом деле нужен другой человек. Который или будет получать
    > в три раза меньше, или будет уметь в три раза больше,
    > а платить за околачивание груш - так и вообще моветон.

    и по итогу появился целый класс айтишников, которые и как программисты и как админы полное гвно, зачастую с "мощной зп". но щеки они надувают и даже считают звание "девопс" чем-то хорошим:-) можешь даже по кол-ву минусиков к этому комменту посчитать их.

     
     
  • 4.70, Алког Олек (?), 06:03, 08/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > звание "девопс" чем-то хорошим

    Есть такое звание?
    (что-то показалось что это в общем процессе так сказать работы о стиле менежемента...)

     
     
  • 5.74, Аноним (-), 14:43, 09/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть такое звание?

    Есть такая профессия. Нечто среднее между разработчиком, интегратором и админом, на стыке ранее существовавших профессий. Чуваки которые помогают команде развернуть результаты кодинга в продакшн, решая проблемы на стыке взаимодействий.

    И это в том числе и стиль менеджмента и прочее - делать за 15 минут то над чем кадры типа тигара будут два дня сношаться. С тем же или даже более хреновым результатом.

     
     
  • 6.75, А. О. (?), 19:45, 09/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Чуваки которые помогают команде развернуть результаты
    > кодинга в продакшн, решая проблемы на стыке взаимодействий.

    Спец Ыалисты по всучиванию нерабочего так сказать субстанции с рекламной пляской на тему "canIhelpYou?"? >:-)

    > И это в том числе и стиль менеджмента и прочее - делать
    > за 15 минут то над чем кадры типа тигара будут два
    > дня сношаться. С тем же или даже более хреновым результатом.

    Ну это уже пошло соревнование админов...
    (возможно со службой поддержки).

    (помогать могут и сами непосредственно разработчики-погромисты системы, что не делает их самих кем-то иным. Например Помощниками. По профессии...).

     
     
  • 7.76, Аноним (-), 23:31, 10/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Девопсы всучиванием занимаются ровно столько же сколько и админы Они конечно со... большой текст свёрнут, показать
     
  • 4.73, Аноним (-), 14:36, 09/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Они в целом для команды в разы полезнее таких как ты Ты точно так же щеки надув... большой текст свёрнут, показать
     

  • 1.49, Аноним (-), 09:52, 07/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  открыл эру терабитных атак.

    Ее помнится открыл mirai и довольно давно уже.

     
  • 1.60, amonymous (?), 13:24, 07/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Открытые редисы, мемкашеды и т.п. Явный намёк на квалификацию современных девопс.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру