Что такое DDoS-атаки с амплификацией (усилением)?

DDoS-атака с амплификацией (их также называют атаками с усилением) — это разновидность L3-L4 DDoS-атак, в которой злоумышленники используют уязвимости или особенности работы сторонних легитимных серверов, чтобы направить на цель значительно больший объем трафика, чем они могли бы сгенерировать самостоятельно.

Для этого они отправляют поддельные (spoofed) запросы на большое число серверов. В ответ эти серверы формируют значительно более объемные отклики и отсылают их на адрес жертвы. Это перегружает ресурсы цели и вызывает отказ в обслуживании для легитимных пользователей. Такие DDoS-атаки также называют отраженными (reflection DDoS), поскольку вредоносный трафик как бы «отражается» от легитимных серверов в сторону цели.

Главная задача DDoS-атак с амплификацией — перегрузить канал связи целевой системы огромным количеством бессмысленного трафика, сделав ее недоступной для обычных пользователей.

Хотя существуют отдельные исключения, при организации большинства DDoS-атак с усилением атакующие следуют проверенной схеме:

1. Выбирают уязвимый протокол прикладного уровня, который использует в качестве транспорта UDP. В отличие от TCP, протокол UDP не требует установления соединения, что делает его удобным для атак с амплификацией.
2. В выбранном протоколе находят уязвимость, которая позволяет с помощью небольшого запроса получить значительно более объемный ответ.
3. Отыскивают большое число открытых уязвимых серверов, работающих с выбранным протоколом, которые будут отвечать на поддельные запросы.
4. Отправляют множество поддельных запросов на обнаруженные серверы с подставленным IP-адресом жертвы в поле источника.
5. В результате легитимные серверы начинают отправлять на адрес жертвы N байт ответа на каждый байт запроса, отправленного атакующим.

Число N называется коэффициентом амплификации (или коэффициентом усиления) DDoS-атаки. Оно зависит от особенностей используемого протокола прикладного уровня и ряда других факторов. В среднем коэффициент амплификации может составлять от нескольких десятков до сотен.

Однако в некоторых случаях коэффициент усиления бывает значительно выше. Например, для DDoS-атак с амплификацией через Memcached он может достигать от 10 000 до 51 000. А текущий рекорд принадлежит атаке TP240PhoneHome с коэффициентом амплификации 4 294 967 296:1 (да-да, это миллиарды).

Несмотря на то что в большинстве DDoS-атак с амплификацией обычно эксплуатируются уязвимости в протоколах прикладного уровня (L7) и используется особенность UDP — транспортного протокола (L4), — такие атаки классифицируются как сетевые (L3). Причина в том, что они нацелены на ключевое сетевое оборудование, такое как маршрутизаторы и коммутаторы, работающие на сетевом уровне модели OSI. Конечная задача таких атак — перегрузка коммуникационного канала.

Поскольку атаки с усилением опираются на ошибки в реализации протоколов прикладного уровня — а таких уязвимых протоколов немало, — существует множество разновидностей подобных атак. Популярность конкретных типов в разное время зависит от количества открытых серверов, готовых отвечать на поддельные запросы.

Тем не менее есть проверенные классические методы, которые злоумышленники используют особенно часто. Рассмотрим некоторые из них.

Один из самых распространенных типов — DDoS-атака с амплификацией через DNS, в которой используются неправильно настроенные открытые резолверы системы доменных имен (DNS). Злоумышленники отправляют на такие серверы DNS-запросы с поддельным IP-адресом жертвы. В ответ серверы возвращают значительно более объемные DNS-ответы, перегружая сеть жертвы потоком данных.

Коэффициент амплификации при такой атаке может достигать 100:1, что вполне существенно для многих злоумышленников.

Широкая доступность открытых DNS-резолверов в интернете упрощает поиск и использование уязвимых серверов для атак. Благодаря этому атакующие могут генерировать значительный объем трафика при минимальных затратах. Этот метод многократно применялся в резонансных DDoS-атаках, что подтверждает его устойчивую популярность среди киберпреступников.

Другой распространенный тип — DDoS-атака с амплификацией через NTP. Она эксплуатирует уязвимость в Network Time Protocol (NTP) — еще одном прикладном протоколе, использующем UDP, который предназначен для синхронизации системных часов компьютеров через интернет.

В частности, злоумышленники используют в атаках команду MONLIST, которая возвращает список последних 600 IP-адресов, подключавшихся к NTP-серверу. Атакующие отправляют поддельные MONLIST-запросы на большое количество уязвимых NTP-серверов, подставляя в поле источника запроса IP-адрес жертвы.

В ответ эти серверы отправляют на адрес жертвы значительно более объемные ответы с вышеупомянутыми списками последних подключавшихся. В среднем коэффициент амплификации при использовании уязвимости MONLIST составляет около 500:1. Пока в интернете сохраняется достаточное число уязвимых NTP-серверов, данный тип DDoS-атак остается весьма эффективным способом перегрузки коммуникационных каналов цели.

DDoS-атаки с амплификацией через SNMP эксплуатируют протокол Simple Network Management Protocol (SNMP), который используется для мониторинга и управления в сетевом оборудовании — таком как маршрутизаторы, коммутаторы, принтеры, межсетевые экраны и другие устройства.

Атакующие отправляют небольшие SNMP-запросы с поддельным IP-адресом жертвы на значительное количество неправильно настроенных устройств с включенной поддержкой SNMP. В ответ эти устройства возвращают гораздо более объемные SNMP-ответы, направленные на адрес жертвы, формируя большой поток трафика. Теоретически коэффициент усиления при таких атаках может достигать 650:1.

Атаки с амплификацией через STUN — относительно новая техника, которая эксплуатирует уязвимости в протоколе Session Traversal Utilities for NAT (STUN). Этот протокол используется другими протоколами, такими как Interactive Connectivity Establishment (ICE), Session Initiation Protocol (SIP) и WebRTC. В свою очередь, данные протоколы  широко используются сервисами голосовой связи и видеосвязи — например, Microsoft Teams, FaceTime, Zoom, Skype и другими.

Несмотря на достаточно невысокий коэффициент амплификации — в среднем 2,32:1, — атаки с использованием STUN в последние годы становятся все более распространенными. Причина в том, что защита от таких атак сопряжена с риском чрезмерной блокировки, что может привести к недоступности VoIP- и видеосервисов, на которые все больше полагаются бизнес-пользователи.

DDoS-атаки с амплификацией могут существенно влиять на работу бизнеса. Успешная атака способна вызвать длительный простой и нарушить коммуникации, что в итоге приводит к серьезным финансовым потерям и дестабилизации бизнес-процессов.

Кроме того, частые перебои подрывают доверие клиентов и наносят ущерб репутации компании. Поэтому для обеспечения доступности онлайн-сервисов, сохранения лояльности клиентов и защиты доходов необходимо внедрение надежной DDoS-защиты — это единственный способ сохранить устойчивость и непрерывность бизнес-процессов в условиях масштабных атак.

Один из самых эффективных вариантов защиты сети от DDoS-атак с амплификацией — использование облачного сервиса, такого как CURATOR.ANTIDDOS, который полагается на 18 центров фильтрации трафика, стратегически размещенных по всему миру. Основные преимущества такого подхода:

• Резервирование: центры фильтрации независимо друг от друга подключены к Tier 1 и ведущим региональным интернет-провайдерам.
• Высокая емкость: глобальная сеть фильтрации способна эффективно справляться с атаками крупного масштаба.
• Надежность: в случае сбоя одного из центров трафик автоматически перенаправляется в другие точки благодаря единой системе управления.
• Экономичность: облачная модель с оплатой по мере использования устраняет необходимость в дорогостоящем локальном оборудовании и дополнительном персонале.
• Экспертиза: продвинутые технологии и команда опытных специалистов обеспечивают мониторинг и нейтрализацию даже самых сложных угроз в режиме реального времени.