Eksperter advarer mod ny angrebsmetode: DRDoS er populært, farligt og nemt at udføre

En særlig type DDoS-angreb har fået større udbredelse. Angrebstypen udnytter andres infrastruktur, og kan medføre alvorlige gener for ofrene, uden det kræver den store båndbredde fra bagmændene.

DDoS (Distributed Denial of Service) hvor eksempelvis en webserver bliver oversvømmet med så store mængder data, at serveren bukker under, har fået et R tilføjet. Det er blevet til DRDoS, Distributed Reflection Denial of Service. Det vil sige angreb, der sender data til sårbare webtjenester, hvorefter tjenesterne videresender større datamængder til ofret. Hvad værre er, kan det ske med forstærkende effekt, kaldet amplification.


Myndigheder og virksomheder bør checke deres infrastruktur for at sikre, at de ikke ufrivilligt stiller angrebsinfrastruktur til rådighed, anbefaler Thomas Kristmar, chef for krisestyrings- og operations-afdelingen, Center for Cybersikkerhed.

Så den mængde data, en angriber sender til en sårbar webtjeneste, kan blive forstærket flere hundrede gange, når datamængden rammer ofret.

Chef for Krisestyrings- og Operations-afdelingen Thomas Kristmar fortæller, at de angreb, Center for Cybersikkerhed i løbet af det seneste års tid, generelt har observeret, generelt har været nogenlunde jævne i størrelse og hyppighed, men netop amplification-angrebene er på vej frem.

De baserer sig på UDB-tjenester og udnytter sårbare webservices til at sende store mængder data mod et offer.

»For de fleste DDoS-angrebs vedkommende er det DNS-, SNMP og NTP-baserede angreb, vi har observeret (DRDoS-angreb, red.). Og ofte ser vi, at mange ufrivilligt lægger infrastruktur til rådighed, som bliver brugt til at angribe andre.«

Forstærker trafik mere end 500 gange

Senest har der været en vækst i brugen af sårbare NTP-servere til at udføre amplification-angreb med. Ifølge US CERT, den amerikanske cybersikkerheds-varslingstjeneste, kan datamængderne fra en angriber forstærkes med over 500 gange via et NTP-baseret DRDoS-angeb.

Det var netop et NTP-baseret angreb, der for nyligt sende den store danske webhotel-leverandør One.com til tælling, som Version2 i februar i år kunne fortælle om. Virksomheden havde ellers forsøgt at sikre sig mod netop DDoS-angreb, men det var altså ikke tilstrækkeligt på daværende tidspunkt.

»Det er jo ikke vanskeligt at gennemføre. De nye teknikker gør det mere effektfuldt. Amplification indebærer jo netop, at man sender en lille forespørgsel, der giver et stort svar,« siger Thomas Kristmar.

Direktør i Solido Networks og blogger på Version2, Henrik Kramshøj, der har indsigt i DDoS-teknikker, bekræfter, at netop DRDoS-angreb er på fremmarch.

Han mener, en del af forklaringen på den relativt nye type angreb, skal findes i, at der i løbet af sidste år dukkede en stribe web-scanningsværktøjer frem, som gør det relativt nemt at finde frem til sårbare webtjenester, der kan bruges til denne type angreb.

»Det er blevet så script-kiddie-venligt (en betegnelse for værktøjer, også uøvede it-kriminelle kan anvende, red.), at man med få kommandoer og en halv time, kan begynde at finde de første systemer, og lancere et angreb – det er uheldigt, « siger han.

DRDoS-angrebene udnytter sårbarheder i eksempelvis NTP-servere. Henrik Kramshøj kan fortælle, at kunder hos Solido Networks, der har haft disse sårbare services, stort set også har fået dem udnyttet til DRDoS-angreb med det samme.

Steg i februar med 371 pct.

Ifølge virksomheden Prolexic, der beskæftiger sig med DDoS-bekæmpelse, så er antallet af NTP-relaterede DRDoS-angreb i løbet af februar måned i år steget med 371 pct. blandt virksomhedens kunder. Polexic kæder i en pressemeddelelse stigningen sammen med fremkomsten af værktøjer, der gør det relativt let at udnytte svagheder i NTP-servere.


Ifølge en opgørelse fra Prolexic, genererede USA næsten en fjerdedel af alle DDoS-angreb på verdensplan. Tallene er fra fjerde kvartal i 2013

Thomas Kristmar understreger, at det er særdeles vigtigt at scanne sin egen infrastruktur for disse sårbare services, så de kan blive patchede.

»Der er en stor mængde af sårbar infrastruktur på nettet, der er lette at udnytte. Og der er myndigheder og virksomheder, der bør checke deres egen infrastruktur for at sikre, at man ikke ufrivilligt stiller angrebsinfrastruktur til rådighed. Center for Cybersikkerhed har udgivet en række vejledninger om hvordan man beskytter sig mod DDoS-angreb og identificerer egen sårbar infrastruktur. Vejledningerne findes på cfcs.dk.« siger han.

FAKTA om DRDoS

Distributed Reflection Denial of Service (DRDoS) fungerer ved, at en angriber sender en data til en sårbar service, hvorefter services sender mange gange datamængderne videre til en tredjepart, offeret for angrebet. Senest har den type angreb udnyttet en svaghed i servere til tidsstyring på nettet, NTP.

Det foregår konkret ved, at en angriber sender en forespørgsel, get monlist, til en sårbar NTP-server. Serveren svarer tilbage med de op til 600 seneste ip-adresser, der har besøgt serveren. Da kommunikationen foregår via UDP-protokollen, som er stateless, bliver kilde-ip-adressen i udgangspunktet ikke kontrolleret. Det kan derfor lade sig gøre for en angriber at angive ip-adressen på ofret, som den, der skal svares tilbage til, hvorefter målet for angrebet får data retur for NTP-serveren. Ifølge den amerikanske varslingstjeneste for cybertrusler, US Cert, kan NTP-serveren på den måde forstærke DDoS-angrebet, altså den datamængde, der bliver sendt fra angriberens computer eller computere med op til 556.9 gange.

NTP-baserede DRDoS-angreb er blot en blandt flere af den type angreb, der udnytter UDP-baserede services. Blandt andre nævner US Cert DNS, SNMPv2, NetBIOS, SSDP, CharGEN, QOTD, BitTorrent, Kad, Quake Network Protocol og Steam Protocol.

Men sårbare NTP-servere er langt de mest effektive, set fra en angribes synspunkt, når det gælder om at forstærke trafikken. Mens NTP altså kan forstærke op til 556.9 gange, så forstærker den næstkraftigste service, DNS, med mellem 28 og 54 gange.

Løsningen på problemet er enten at få opdateret sårbar NTP-software, til mindst version 4.2.7 – hvor monlist-kommandoen ikke er aktiv som standard. Og alternativt at slå monlist fra i tidligere versioner.

Kilde: US Cert

Denne artikel har været bragt i Version2 download-magasin Version2 Insight om DDOS angreb. Find dette og flere Insights og whitepapers her

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>