Стали известны технические детали DDoS-атаки с NTP-усилением

Компания Cloudflare разгласила технические детали крупнейшей DDoS-атаки с NTP-усилением, о которой сообщалось вчера. Специалисты говорят, что они и раньше видели DDoS-атаки на 400 Гбит/с, но впервые такая атака использует метод усиления UDP-трафика именно через серверы сетевого времени NTP.

В атаке 10 февраля 2014 года приняли участие 4529 серверов NTP из 1298 разных сетей. В среднем, каждый из этих серверов в пиковый час генерировал 87 Мбит/с трафика.

Хотя NTP-серверы с поддержкой MONLIST не так популярны, как DNS-резолверы, зато обычно подключены к интернету по более широким каналам связи, к тому же допускают умножение запросов с более высоким множителем, чем DNS-резолверы. Для сравнения, во время атаки на Spamhaus трафик 300 Гбит/с был сгенерирован с помощью 30 956 открытых DNS-резолверов.

Найти подобные уязвимые серверы в своей сети можно с помощью сканера Open NTP.