ב-48 השעות האחרונות: נשבר שיא DDoS עולמי (שוב)

מתקפה קיברנטית בהיקף חסר תקדים של 400Gbps מסמלת את עלייתו של NTP כפרוטוקול תקיפה מועדף של תוקפים בקנה-מידה גדול.

400gbps-large

במה שניתן לתאר כהמשך מגמה מדאיגה, בימים האחרונים אנחנו עדים למתקפות הולכות ומתחזקות של גורמים שונים באינטרנט. במהלך ה-48 שעות האחרונות זוהתה מתקפה קיברנטית מסוג DDoS (מניעת שירות מבוזרת) בהיקף חסר תקדים של 400Gbps.

עלייה של 33% תוך שנה

המתקפה הנוכחית מהווה עליית מדרגה ממתקפה ענקית קודמת, שזוהתה בשנה שעברה. אז, המתקפה היתה בהיקף של כ-300Gbps, עוצמה המסוגלת להשפיע על שחקנים ברמה בינלאומית, ולפעמים אף לנטרל אותם, ולו רק זמנית. בשנה שעברה את השפעות המתקפה הרגישו משתמשים רבים בצפון אמריקה, אשר דיווחו על האטות בשירותי סטרימינג, כגון נטפליקס, ושירותים אחרים.

כדי להבין את חשיבות המתקפה, ומעט מהשלכותיה, נסביר בקצרה את מהותה. מתקפת DDoS, או Distributed Denial of Service, היא תת-סוג של מתקפה מסוג DoS, או Denial of Service. במסגרת מתקפה של DoS רגילה, טרמינל כלשהו המחובר לאינטרנט שולח פיסות מידע לכתובת IP מסוימת שנבחרה כמטרת התקיפה. הטרמינל יכול להיות לפטופ, דסקטופ, סמארטפון או כל מכשיר המחובר לאינטרנט. פיסות המידע הללו אינן כוללות מידע חשוב או רלוונטי, אלא תפקידן פשוט להעסיק את שרת המטרה שיושב בכתובת ה-IP שנבחרה. אם יישלחו מספיק פיסות מידע מהתוקף, הוא יוכל להעסיק את השרת, והשרת יתעלם מפניות של גולשים רגילים. עבורם, האתר ייראה כמושבת או כלא-תקין, למרות שהוא עדיין שם ועובד כרגיל ברקע.

ההתמודדות עם מתקפת DoS הוא פשוט יחסית, משום שברגע שזוהתה כתובת ה-IP של התוקף ניתן לחסום אותה, וכך לסיים את השפעת המתקפה על השרת. מכאן נולדה מתקפת ה-DDoS. במסגרתה מתקיפים התוקפים את כתובת היעד ממספר רב של יעדי תקיפה, במטרה להקשות על חסימה סלקטיבית וספציפית של כתובת IP מסוימת המזוהה עם התוקפים. במסגרת מתקפות DDoS יכולים התוקפים להשתמש במאות אלפי מחשבים במקביל, כך שיהיה קשה מאוד לחסום אותם באמצעות חסימה ספציפית של כתובות IP.

הנשק החביב החדש – NTP

במתקפה האחרונה, התוקפים השתמשו ב-Network Time Protocol כדי להציף את שרתי המטרה במידע. שימוש זה זוהה ודווח בפומבי לראשונה בשנה שעברה. השימוש החוזר בפרוטוקול זה מהווה תמרור אזהרה למומחי אבטחה ברחבי העולם, שכן כעת ברור כי השימוש בפרוטוקול זה לא היה ארוע חד-פעמי, ויש להערך להגנת שירותים חיוניים בהתאם.

כדי להעצים את השפעת המתקפה הנוכחית, התוקפים השתמשו במה שמכונה “Reflection Attack”. במסגרתה, התוקף אינו תוקף ישירות את מחשב היעד, אלא שולח שאילתא למחשב צד שלישי שאינו קשור, תוך שהוא מתחזה למחשב היעד. המחשבים של הצד השלישי מזהים את כתובת האינטרנט של הפונה אליהם כמחשב היעד, למרות שהתוקפים מתחזים אליו, ובתגובה לשאילתא עונים לו את התשובה לשאילתא שהפנה אליהם. כך, מנסים התוקפים להקשות עוד יותר את הזיהוי שלהם (ראו דרכי התגוננות כאן), תוך שהם מנצלים את מבנה הפרוטוקול.

הבחירה ב-NTP אינה מקרית. מדובר בפרוטוקול המאפשר שליחת שאילתא קצרה מהמחשב השואל, אשר בתגובה אליה יקבל תשובה ארוכה משמעותית מהמחשב המשיב. כך, אתם יכולים לדמיין את ההשלכות של כמויות המידע האדירות שנשלחו מהמחשבים העונים לשאילתות, אל עבר המחשבים המותקפים, בין אם אלה השרתים של ג’ימייל, נטפליקס, חברת האחסון של אתר האינטרנט של החברה שלכם, או של החברה המאחסנת את הבלוג שלכם.

Avatar

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

אין תגובות

התגובות לפוסט סגורות.

תגיות לכתבה: