Открыть сервис

Амплификационная атака

Амплификационная атака — это разновидность сетевой атаки типа «отказ в обслуживании» (DDoS), при которой злоумышленник использует публично доступные серверы (например, DNS, NTP, Memcached) для многократного усиления трафика, направляемого на жертву. В отличие от прямой атаки, где атакующий отправляет данные напрямую, при амплификации он отправляет небольшой запрос от поддельного IP-адреса жертвы на уязвимый сервер, который в ответ генерирует значительно больший объём данных. Ключевой характеристикой атаки является коэффициент усиления (amplification factor) — отношение размера ответа к размеру запроса.

Принцип работы

Амплификационная атака основана на двух основных механизмах: подмене IP-адреса источника (IP-спуфинг) и использовании протоколов, генерирующих ответ, многократно превышающий запрос.

  1. Формирование запроса. Злоумышленник создаёт небольшой сетевой запрос (например, DNS-запрос типа ANY для получения всех записей домена).
  2. Подмена адреса. В заголовке пакета IP-адрес отправителя заменяется на IP-адрес цели атаки (жертвы).
  3. Отправка на рефлектор. Запрос отправляется на открытый сервер-рефлектор (например, публичный DNS-резолвер).
  4. Генерация ответа. Сервер, не подозревая о подмене, обрабатывает запрос и отправляет ответ на подставленный адрес жертвы. Размер ответа может в десятки или сотни раз превышать размер запроса.
  5. Перегрузка цели. Множество таких ответов от большого числа рефлекторов одновременно поступают на атакуемый хост, перегружая его канал связи или вычислительные ресурсы.

История

Первые упоминания об амплификационных атаках относятся к началу 2000-х годов, когда были обнаружены уязвимости в протоколе DNS. Однако массовое распространение явление получило после публикации исследований в 2013–2014 годах. В 2014 году была зафиксирована одна из крупнейших на тот момент атак с использованием протокола NTP (Network Time Protocol) мощностью до 400 Гбит/с. В 2016 году атака с использованием протокола Memcached достигла рекордной мощности в 1,7 Тбит/с. С тех пор амплификационные атаки остаются одним из самых эффективных и трудно блокируемых методов DDoS.

Виды амплификационных атак

Атаки классифицируются по используемому протоколу и типу сервера-рефлектора. Основные виды:

DNS-амплификация

Наиболее распространённый тип. Использует открытые DNS-резолверы. Запрос типа ANY (получить все записи домена) размером около 60 байт может вызвать ответ размером до 4000 байт (коэффициент усиления до 70:1). При использовании DNSSEC коэффициент может достигать 100:1.

NTP-амплификация

Основана на команде monlist протокола NTP, которая возвращает список последних 600 клиентов, синхронизировавших время с сервером. Запрос в 8 байт генерирует ответ до 4800 байт (коэффициент усиления до 600:1). После исправления уязвимости в большинстве NTP-серверов актуальность снизилась.

Memcached-амплификация

Использует протокол Memcached, предназначенный для кэширования данных в оперативной памяти. При неправильной конфигурации сервер отвечает на запросы из любой сети. Запрос в 15 байт может вызвать ответ до 1 Мбайт (коэффициент усиления до 70000:1). Считается наиболее опасным типом.

SNMP-амплификация

Использует протокол SNMP (Simple Network Management Protocol) для управления сетевыми устройствами. Запрос к большому MIB-дереву может дать усиление до 200:1.

SSDP-амплификация

Использует протокол SSDP (Simple Service Discovery Protocol) для обнаружения устройств в локальной сети. Запрос к UPnP-устройствам (роутеры, принтеры) может дать усиление до 30:1.

Коэффициент усиления

Коэффициент усиления — ключевой показатель эффективности атаки. Он вычисляется как отношение размера ответного пакета к размеру запроса. Чем выше коэффициент, тем меньше ресурсов требуется злоумышленнику для генерации мощного потока трафика.

ПротоколТип запросаРазмер запроса (байт)Размер ответа (байт)Коэффициент усиления
DNSANY60до 4000до 70:1
NTPmonlist8до 4800до 600:1
MemcachedGET15до 1 000 000до 70 000:1
SNMPGETBULK60до 12 000до 200:1
SSDPM-SEARCH50до 1500до 30:1

Методы защиты

Защита от амплификационных атак требует комплексного подхода на разных уровнях сети.

На уровне провайдера и сети

На стороне сервера-рефлектора

На стороне жертвы

Правовые аспекты

Организация и проведение DDoS-атак, включая амплификационные, являются уголовно наказуемым деянием в большинстве стран мира. В России ответственность предусмотрена статьёй 272 УК РФ («Неправомерный доступ к компьютерной информации») и статьёй 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»). За атаки, повлёкшие крупный ущерб или нарушение работы критической инфраструктуры, предусмотрено наказание вплоть до лишения свободы на срок до 7 лет. Владельцы серверов-рефлекторов могут быть привлечены к административной или гражданской ответственности за ненадлежащую настройку оборудования, способствующую атакам.

Источники

  1. RFC 5358 — Preventing Use of DNS as a DDoS Amplification Tool. Internet Engineering Task Force (IETF), 2008.
  2. DDoS Amplification Attacks. US-CERT (United States Computer Emergency Readiness Team), 2014.
  3. Memcached DDoS Amplification Attack. Cloudflare Research, 2018.
  4. Уголовный кодекс Российской Федерации (статьи 272, 273).
  5. Network Time Protocol (NTP) DDoS Attack. Arbor Networks (NETSCOUT), 2014.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →