Enorme DDoS-aanval vestigt nieuw record
Een gigantische DDoS-aanval heeft maandag een nieuw record gevestigd. Cloudflare, een beveiligingsbedrijf, kreeg een aanval te verwerken die tot 400 Gbps piekte.
De aanval was blijkbaar specifiek tegen een van de klanten van Cloudflare gericht. Volgens het bedrijf misbruikten de cybercriminelen een fout in het Network Time Protocol (NTP), dat gebruikt wordt om computerklokken te synchroniseren.
[related_article id=”161920″]
Groot, nieuw kanon
“Enorme NTP-aanval op ons momenteel. Lijkt groter dan de #Spamhaus-aanval vorig jaar. Proberen af te weren”, zo tweette Cloudflare-topman Matthew Price. “Iemand heeft een groot, nieuw kanon. Begin van een vuile oorlog”, klonk het even later. Welke klant precies in het vizier liep, laat Price niet weten, wel dat de aanval gericht was op servers in Europa.
Het aantal NTP-aanvallen is de laatste tijd flink toegenomen. Onder meer de gameservers van EA’s Origin-dienst, Blizzards Battle.Net en League of Legends kregen ermee te maken. Ook de Amerikaanse overheidsdienst US-Cert waarschuwde onlangs voor de toegenomen populariteit.
Vervalste adressen
De basistechniek houdt in dat bij kwetsbare NTP-servers gegevens worden opgevraagd in naam van vervalste adressen van slachtoffers. “Daardoor krijgt het slachtoffer het antwoord te verwerken”, zegt US-Cert. “Omdat de grootte van het antwoord meestal een stuk groter is dan de vraag, kan de aanvaller snel een grote hoeveelheid verkeer naar dat slachtoffer sturen.” De antwoorden van de NTP-servers worden gezien als veilig, omdat ze van een bekende bron komen. Daarom is het lastig om dit soort aanvallen te blokkeren, aldus US-Cert.
Ook de komst van speciale toolkits als DNS Flooder v1.1 heeft ervoor gezorgd dat de techniek meer en meer gebruikt wordt, klinkt het bij het beveiligingsbedrijf Prolexic. Verschillende van zijn klanten kregen het laatste half jaar met NTP-aanvallen te maken. De verbruikte bandbreedte lag daarbij soms vijftig keer hoger dan wat de aanval kostte.
“De toolkit gebruikt een unieke methode waarbij de aanvaller willekeurige namen toewijzen aan DNS-servers en ze als een soort reflectoren gebruiken”, zegt Prolexic in zijn rapport. “Daardoor kunnen aanvallers hun eigen DNS-servers kopen en opzetten om dit soort aanvallen uit te voeren, zonder dat ze op zoek moeten naar kwetsbare DNS-servers op het internet.”
Hoger dan Spamhaus
De aanval tegen Cloudflare lag een derde hoger dan de vorige recordhouder. In maart kreeg het antispambedrijf Spamhaus een stortvloed van 300 Gbps aan Torrent-verkeer te verwerken. Ook bij die aanval was Cloudflare betrokken, net als enkele grote internetswitches in Amsterdam, Frankfurt en Londen. Volgens sommige bronnen waren de vertragingen toen over het hele internet te merken, al wordt die mening niet overal gedeeld.
Een gigantische DDoS-aanval heeft maandag een nieuw record gevestigd. Cloudflare, een beveiligingsbedrijf, kreeg een aanval te verwerken die tot 400 Gbps piekte.
De aanval was blijkbaar specifiek tegen een van de klanten van Cloudflare gericht. Volgens het bedrijf misbruikten de cybercriminelen een fout in het Network Time Protocol (NTP), dat gebruikt wordt om computerklokken te synchroniseren.
[related_article id=”161920″]
Groot, nieuw kanon
“Enorme NTP-aanval op ons momenteel. Lijkt groter dan de #Spamhaus-aanval vorig jaar. Proberen af te weren”, zo tweette Cloudflare-topman Matthew Price. “Iemand heeft een groot, nieuw kanon. Begin van een vuile oorlog”, klonk het even later. Welke klant precies in het vizier liep, laat Price niet weten, wel dat de aanval gericht was op servers in Europa.
Het aantal NTP-aanvallen is de laatste tijd flink toegenomen. Onder meer de gameservers van EA’s Origin-dienst, Blizzards Battle.Net en League of Legends kregen ermee te maken. Ook de Amerikaanse overheidsdienst US-Cert waarschuwde onlangs voor de toegenomen populariteit.
Vervalste adressen
De basistechniek houdt in dat bij kwetsbare NTP-servers gegevens worden opgevraagd in naam van vervalste adressen van slachtoffers. “Daardoor krijgt het slachtoffer het antwoord te verwerken”, zegt US-Cert. “Omdat de grootte van het antwoord meestal een stuk groter is dan de vraag, kan de aanvaller snel een grote hoeveelheid verkeer naar dat slachtoffer sturen.” De antwoorden van de NTP-servers worden gezien als veilig, omdat ze van een bekende bron komen. Daarom is het lastig om dit soort aanvallen te blokkeren, aldus US-Cert.
Ook de komst van speciale toolkits als DNS Flooder v1.1 heeft ervoor gezorgd dat de techniek meer en meer gebruikt wordt, klinkt het bij het beveiligingsbedrijf Prolexic. Verschillende van zijn klanten kregen het laatste half jaar met NTP-aanvallen te maken. De verbruikte bandbreedte lag daarbij soms vijftig keer hoger dan wat de aanval kostte.
“De toolkit gebruikt een unieke methode waarbij de aanvaller willekeurige namen toewijzen aan DNS-servers en ze als een soort reflectoren gebruiken”, zegt Prolexic in zijn rapport. “Daardoor kunnen aanvallers hun eigen DNS-servers kopen en opzetten om dit soort aanvallen uit te voeren, zonder dat ze op zoek moeten naar kwetsbare DNS-servers op het internet.”
Hoger dan Spamhaus
De aanval tegen Cloudflare lag een derde hoger dan de vorige recordhouder. In maart kreeg het antispambedrijf Spamhaus een stortvloed van 300 Gbps aan Torrent-verkeer te verwerken. Ook bij die aanval was Cloudflare betrokken, net als enkele grote internetswitches in Amsterdam, Frankfurt en Londen. Volgens sommige bronnen waren de vertragingen toen over het hele internet te merken, al wordt die mening niet overal gedeeld.