Зафиксирована DDoS-атак с использованием TFTP-серверов

Компания Alamai зафиксировала порядка 10 DdoS-атак, которые проводились посредством усиления трафика, а в качестве посредников использовались свободные TFTP-серверы. Исходя из статистики, TFTP-атаки с плечом были частью многовекторного потока, который за счет большого количества пакетов забить канал связи на целевом сейте. До клиентов Akamai доходил поток, мощностью в 1,2 Гбит/с, а количество пакетов превышало 176 тысяч.

Зафиксирована DDoS-атак с использованием TFTP-серверовИсточник данных работал на 69 порту, в то время как целевые порты выбирались случайным порядком. Также удалось выяснить, что трафик был направлен с территории Южной Кореи и Китая.

Специалисты Akamai говорят о том, что скрипты для подобного рода атак появились практически сразу, как один из университетов опубликовал результаты своих исследований. Исследователи подтвердили возможность использования протокола TFTP для усиления мощности DdoS-атаки.

Используемые в атаке скрипты разработаны на основе уже существующих вредоносных программ, использующих UDP. В настройках скрипта указываются все необходимые данные — порты, целевые, TFTP-сереверы, а также максимальная скорость проведения атаки. При этом, Akamai нашли один из ресурсов, который предоставляет услуги по проведению DdoS-атак, а также распространяет специализированные скрипты.

Чтобы защитить себя от атак с плечом по TFTP, сотрудники Akamai рекомендуют отключить публичный доступ к серверам-усилителям. На 69 порт нужно поставить экран и ограничить доступ только определенным источникам, если в нем нет нужды — вообще закрыть.

Также данным вопросом озаботились активисты Shadowserver, которые недавно запустили отдельный сканер, проверяющий наличие в сети небезопасных TFTP-серверов. На начало июня при помощи данного сервиса было найдено более 4 миллионов открытых TFTP-устройств. Лидирующими по количеству странами являются Китай, Южная Корея и Соединенные Штаты Америки. Россия располагается на шестом месте.

 

Раздел: