Амплификационная атака
Амплификационная атака — это разновидность сетевой атаки типа «отказ в обслуживании» (DDoS), при которой злоумышленник использует публично доступные серверы (например, DNS, NTP, Memcached) для многократного усиления трафика, направляемого на жертву. В отличие от прямой атаки, где атакующий отправляет данные напрямую, при амплификации он отправляет небольшой запрос от поддельного IP-адреса жертвы на уязвимый сервер, который в ответ генерирует значительно больший объём данных. Ключевой характеристикой атаки является коэффициент усиления (amplification factor) — отношение размера ответа к размеру запроса.
Принцип работы
Амплификационная атака основана на двух основных механизмах: подмене IP-адреса источника (IP-спуфинг) и использовании протоколов, генерирующих ответ, многократно превышающий запрос.
- Формирование запроса. Злоумышленник создаёт небольшой сетевой запрос (например, DNS-запрос типа ANY для получения всех записей домена).
- Подмена адреса. В заголовке пакета IP-адрес отправителя заменяется на IP-адрес цели атаки (жертвы).
- Отправка на рефлектор. Запрос отправляется на открытый сервер-рефлектор (например, публичный DNS-резолвер).
- Генерация ответа. Сервер, не подозревая о подмене, обрабатывает запрос и отправляет ответ на подставленный адрес жертвы. Размер ответа может в десятки или сотни раз превышать размер запроса.
- Перегрузка цели. Множество таких ответов от большого числа рефлекторов одновременно поступают на атакуемый хост, перегружая его канал связи или вычислительные ресурсы.
История
Первые упоминания об амплификационных атаках относятся к началу 2000-х годов, когда были обнаружены уязвимости в протоколе DNS. Однако массовое распространение явление получило после публикации исследований в 2013–2014 годах. В 2014 году была зафиксирована одна из крупнейших на тот момент атак с использованием протокола NTP (Network Time Protocol) мощностью до 400 Гбит/с. В 2016 году атака с использованием протокола Memcached достигла рекордной мощности в 1,7 Тбит/с. С тех пор амплификационные атаки остаются одним из самых эффективных и трудно блокируемых методов DDoS.
Виды амплификационных атак
Атаки классифицируются по используемому протоколу и типу сервера-рефлектора. Основные виды:
DNS-амплификация
Наиболее распространённый тип. Использует открытые DNS-резолверы. Запрос типа ANY (получить все записи домена) размером около 60 байт может вызвать ответ размером до 4000 байт (коэффициент усиления до 70:1). При использовании DNSSEC коэффициент может достигать 100:1.
NTP-амплификация
Основана на команде monlist протокола NTP, которая возвращает список последних 600 клиентов, синхронизировавших время с сервером. Запрос в 8 байт генерирует ответ до 4800 байт (коэффициент усиления до 600:1). После исправления уязвимости в большинстве NTP-серверов актуальность снизилась.
Memcached-амплификация
Использует протокол Memcached, предназначенный для кэширования данных в оперативной памяти. При неправильной конфигурации сервер отвечает на запросы из любой сети. Запрос в 15 байт может вызвать ответ до 1 Мбайт (коэффициент усиления до 70000:1). Считается наиболее опасным типом.
SNMP-амплификация
Использует протокол SNMP (Simple Network Management Protocol) для управления сетевыми устройствами. Запрос к большому MIB-дереву может дать усиление до 200:1.
SSDP-амплификация
Использует протокол SSDP (Simple Service Discovery Protocol) для обнаружения устройств в локальной сети. Запрос к UPnP-устройствам (роутеры, принтеры) может дать усиление до 30:1.
Коэффициент усиления
Коэффициент усиления — ключевой показатель эффективности атаки. Он вычисляется как отношение размера ответного пакета к размеру запроса. Чем выше коэффициент, тем меньше ресурсов требуется злоумышленнику для генерации мощного потока трафика.
| Протокол | Тип запроса | Размер запроса (байт) | Размер ответа (байт) | Коэффициент усиления |
|---|---|---|---|---|
| DNS | ANY | 60 | до 4000 | до 70:1 |
| NTP | monlist | 8 | до 4800 | до 600:1 |
| Memcached | GET | 15 | до 1 000 000 | до 70 000:1 |
| SNMP | GETBULK | 60 | до 12 000 | до 200:1 |
| SSDP | M-SEARCH | 50 | до 1500 | до 30:1 |
Методы защиты
Защита от амплификационных атак требует комплексного подхода на разных уровнях сети.
На уровне провайдера и сети
- Фильтрация IP-спуфинга (BCP 38). Провайдеры должны блокировать пакеты с IP-адресами, не принадлежащими их сети. Это лишает злоумышленника возможности подделывать адрес источника.
- Ограничение скорости (rate limiting). Настройка порогов на пропуск трафика определённых протоколов (DNS, NTP) на пограничных маршрутизаторах.
- Блокировка уязвимых протоколов. Запрет на прохождение трафика к открытым рефлекторам (например, блокировка порта 11211 для Memcached).
На стороне сервера-рефлектора
- Отключение ненужных служб. Закрытие публичного доступа к DNS, NTP, Memcached, если они не требуются для работы.
- Обновление ПО. Установка патчей, устраняющих уязвимости (например, отключение команды
monlistв NTP). - Настройка ACL (Access Control List). Ограничение доступа к серверу только доверенными IP-адресами.
На стороне жертвы
- Использование облачных DDoS-защит. Сервисы вроде Cloudflare, Akamai, Arbor Networks, которые фильтруют трафик на своей инфраструктуре до его попадания к клиенту.
- Аппаратные решения. Установка специализированных сетевых устройств (Anti-DDoS-шлюзы), способных анализировать и отбрасывать вредоносные пакеты.
Правовые аспекты
Организация и проведение DDoS-атак, включая амплификационные, являются уголовно наказуемым деянием в большинстве стран мира. В России ответственность предусмотрена статьёй 272 УК РФ («Неправомерный доступ к компьютерной информации») и статьёй 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»). За атаки, повлёкшие крупный ущерб или нарушение работы критической инфраструктуры, предусмотрено наказание вплоть до лишения свободы на срок до 7 лет. Владельцы серверов-рефлекторов могут быть привлечены к административной или гражданской ответственности за ненадлежащую настройку оборудования, способствующую атакам.
Источники
- RFC 5358 — Preventing Use of DNS as a DDoS Amplification Tool. Internet Engineering Task Force (IETF), 2008.
- DDoS Amplification Attacks. US-CERT (United States Computer Emergency Readiness Team), 2014.
- Memcached DDoS Amplification Attack. Cloudflare Research, 2018.
- Уголовный кодекс Российской Федерации (статьи 272, 273).
- Network Time Protocol (NTP) DDoS Attack. Arbor Networks (NETSCOUT), 2014.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →