Eksperter advarer mod ny angrebsmetode: DRDoS er populært, farligt og nemt at udføre

Illustration: leowolfert/Bigstock
I løbet af det seneste års tid er særligt en type DDoS-angreb begyndt at vinde frem, som er relativt nemme at udføre, og kan forvolde stor skade.

En særlig type DDoS-angreb har fået større udbredelse. Angrebstypen udnytter andres infrastruktur, og kan medføre alvorlige gener for ofrene, uden det kræver den store båndbredde fra bagmændene.

DDoS (Distributed Denial of Service) hvor eksempelvis en webserver bliver oversvømmet med så store mængder data, at serveren bukker under, har fået et R tilføjet. Det er blevet til DRDoS, Distributed Reflection Denial of Service. Det vil sige angreb, der sender data til sårbare webtjenester, hvorefter tjenesterne videresender større datamængder til ofret. Hvad værre er, kan det ske med forstærkende effekt, kaldet amplification.

Så den mængde data, en angriber sender til en sårbar webtjeneste, kan blive forstærket flere hundrede gange, når datamængden rammer ofret.

Chef for Krisestyrings- og Operations-afdelingen Thomas Kristmar fortæller, at de angreb, Center for Cybersikkerhed i løbet af det seneste års tid, generelt har observeret, generelt har været nogenlunde jævne i størrelse og hyppighed, men netop amplification-angrebene er på vej frem.

De baserer sig på UDP-tjenester og udnytter sårbare webservices til at sende store mængder data mod et offer.

»For de fleste DDoS-angrebs vedkommende er det DNS-, SNMP og NTP-baserede angreb, vi har observeret (DRDoS-angreb, red.). Og ofte ser vi, at mange ufrivilligt lægger infrastruktur til rådighed, som bliver brugt til at angribe andre.«

Forstærker trafik mere end 500 gange

Senest har der været en vækst i brugen af sårbare NTP-servere til at udføre amplification-angreb med. Ifølge US CERT, den amerikanske cybersikkerheds-varslingstjeneste, kan datamængderne fra en angriber forstærkes med over 500 gange via et NTP-baseret DRDoS-angeb.

Det var netop et NTP-baseret angreb, der for nyligt sende den store danske webhotel-leverandør One.com til tælling, som Version2 i februar i år kunne fortælle om. Virksomheden havde ellers forsøgt at sikre sig mod netop DDoS-angreb, men det var altså ikke tilstrækkeligt på daværende tidspunkt.

»Det er jo ikke vanskeligt at gennemføre. De nye teknikker gør det mere effektfuldt. Amplification indebærer jo netop, at man sender en lille forespørgsel, der giver et stort svar,« siger Thomas Kristmar.

Direktør i Solido Networks og blogger på Version2, Henrik Kramshøj, der har indsigt i DDoS-teknikker, bekræfter, at netop DRDoS-angreb er på fremmarch.

Han mener, en del af forklaringen på den relativt nye type angreb, skal findes i, at der i løbet af sidste år dukkede en stribe web-scanningsværktøjer frem, som gør det relativt nemt at finde frem til sårbare webtjenester, der kan bruges til denne type angreb.

»Det er blevet så script-kiddie-venligt (en betegnelse for værktøjer, også uøvede it-kriminelle kan anvende, red.), at man med få kommandoer og en halv time, kan begynde at finde de første systemer, og lancere et angreb - det er uheldigt, « siger han.

DRDoS-angrebene udnytter sårbarheder i eksempelvis NTP-servere. Henrik Kramshøj kan fortælle, at kunder hos Solido Networks, der har haft disse sårbare services, stort set også har fået dem udnyttet til DRDoS-angreb med det samme.

Steg i februar med 371 pct.

Ifølge virksomheden Prolexic, der beskæftiger sig med DDoS-bekæmpelse, så er antallet af NTP-relaterede DRDoS-angreb i løbet af februar måned i år steget med 371 pct. blandt virksomhedens kunder. Polexic kæder i en pressemeddelelse stigningen sammen med fremkomsten af værktøjer, der gør det relativt let at udnytte svagheder i NTP-servere.

Thomas Kristmar understreger, at det er særdeles vigtigt at scanne sin egen infrastruktur for disse sårbare services, så de kan blive patchede.

»Der er en stor mængde af sårbar infrastruktur på nettet, der er lette at udnytte. Og der er myndigheder og virksomheder, der bør checke deres egen infrastruktur for at sikre, at man ikke ufrivilligt stiller angrebsinfrastruktur til rådighed. Center for Cybersikkerhed har udgivet en række vejledninger om hvordan man beskytter sig mod DDoS-angreb og identificerer egen sårbar infrastruktur. Vejledningerne findes på cfcs.dk.« siger han.

FAKTA om DRDoS

Distributed Reflection Denial of Service (DRDoS) fungerer ved, at en angriber sender en data til en sårbar service, hvorefter services sender mange gange datamængderne videre til en tredjepart, offeret for angrebet. Senest har den type angreb udnyttet en svaghed i servere til tidsstyring på nettet, NTP.

Det foregår konkret ved, at en angriber sender en forespørgsel, get monlist, til en sårbar NTP-server. Serveren svarer tilbage med de op til 600 seneste ip-adresser, der har besøgt serveren. Da kommunikationen foregår via UDP-protokollen, som er stateless, bliver kilde-ip-adressen i udgangspunktet ikke kontrolleret. Det kan derfor lade sig gøre for en angriber at angive ip-adressen på ofret, som den, der skal svares tilbage til, hvorefter målet for angrebet får data retur for NTP-serveren. Ifølge den amerikanske varslingstjeneste for cybertrusler, US Cert, kan NTP-serveren på den måde forstærke DDoS-angrebet, altså den datamængde, der bliver sendt fra angriberens computer eller computere med op til 556.9 gange.

NTP-baserede DRDoS-angreb er blot en blandt flere af den type angreb, der udnytter UDP-baserede services. Blandt andre nævner US Cert DNS, SNMPv2, NetBIOS, SSDP, CharGEN, QOTD, BitTorrent, Kad, Quake Network Protocol og Steam Protocol.

Men sårbare NTP-servere er langt de mest effektive, set fra en angribes synspunkt, når det gælder om at forstærke trafikken. Mens NTP altså kan forstærke op til 556.9 gange, så forstærker den næstkraftigste service, DNS, med mellem 28 og 54 gange.

Løsningen på problemet er enten at få opdateret sårbar NTP-software, til mindst version 4.2.7 - hvor monlist-kommandoen ikke er aktiv som standard. Og alternativt at slå monlist fra i tidligere versioner.

Kilde: US Cert

Denne artikel har været bragt i Version2 download-magasin Version2 Insight om DDOS angreb. Find dette og flere Insights og whitepapers her

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Andrew Rump

Nu er internettet internationalt, så det er ikke en lands lov og ret der styre det, men love i alle lande, så det er ikke så nemt - og så vidt jeg ved er der ikke en lov imod at blive misbrugt til DRDoS i nogen lande, men istedet er mange interesseret i at det ikke sker - desværre er der en del der ikke fatter hat af hvad de sætter på internettet :-( og så har vi problemet!

  • 2
  • 0
Baldur Norddahl

Der bliver ikke gjort noget. De eneste der reelt kunne gøre noget er de store internationale transitudbydere, men de har ikke en interesse i at stoppe det. De tjener penge på at flytte bits og det er ligemeget om det er legitime bits der bliver flyttet.

Det er, for sjov, blevet foreslået at man kan stoppe et DRDOS angreb ved at vende angrebet imod reflektorerne. Du kender ikke IP-adressen på angriberen, men du kender IP-adresserne på de maskiner der bruges til at reflektere og forstærke angrebet. Hvorfor ikke sende pakke tilbage til de IP-adresser, som får dem til at angribe sig selv? Og dermed få reflektorerne til at gå offline, så at de ikke kan fortsætte som del af angrebet imod dig.

Forslaget er naturligvis ulovligt, så det er ikke noget man kan eller bør gøre brug af. På den anden side må det være svært at se til at ens forretning brænder, samtidig med at man kender et middel der vil virke. Måske loven burde laves om her?

Eller man kunne lovgive om at transitudbyderne skal tage deres del i kampen for at reducere dette problem. Det vil være mest effektivt hvis det gøres i større forum, f.eks. EU eller USA.

  • 2
  • 0
Baldur Norddahl

Det forslag vil nok kunne finde støtte hos mange af rettighedsindustriernes lobbyister. Lovpligtig DPI, mmm!

Der er ikke brug for DPI for at stoppe DRDOS. Vi snakker de helt simple ting som at blokkere for at kunderne sender med falske IP-adresser, give mulighed for at blackhole afsender IP-adresser (i stedet for kun modtager IP-adresse), forpligtigelse til at tage kontakt til kunder der bliver misbrugt som reflektorer etc.

Selvom vi ikke har kontrol med hele verden, så ville det gøre en enorm forskel hvis vi udrydder DRDOS i f.eks. EU. Angreb der kommer helt fra Asien er næppe særlige effektive. Dertil kommer at transitudbyderne vil være motiveret til selv at gøre noget for at stoppe en masse falsk trafik der kommer langvejsfra, da de helt sikkert vil tabe penge på den trafik.

Alle ved at mine IP-ranges hører til i Danmark og at mine transitudbydere er Cogent og TDC. Så snart en IP-pakke krydser grænsen ind til EU og denne pakke har en af mine IP-adresse som source, så skal den droppes med det samme. Det bør ikke være lovligt at route trafik som udgiver sig at være fra mig, når et simpelt tjek med RIPE kan vise at det er falskt. Denne simple regel stopper reflektorer indenfor EU i at blive brugt imod mål også indenfor EU.

Hele systemet med BGP routing betyder at trafik bliver sendt nogle mærkelige steder hen for at blive returneret ad andre kanaler. F.eks. er der dansk trafik der bliver udvekslet både i Stockholm og Amsterdam. Men det forhindrer ikke at man laver et system, så at disse ting er dokumenteret, så der kan laves filtre. Og til en vis grad har man allerede gjort det i RIPEs databaser.

  • 1
  • 0
Brian Hansen

BGP er noget forældet skrammel, fra en tid hvor nettet primært var fyldt med good Guys, og sikker drift beroede på gensidig tillid til at alle andre opførte sig pænt. Jeg ved at flere ISP'er konsekvent lukker din linie ned, hvis der findes en smtp med åben relay. Hvorfor ikke bygge videre på det, og aktivt lukke for andre dårligt opsatte services?

  • 0
  • 1
Jens Jönsson

Det er, for sjov, blevet foreslået at man kan stoppe et DRDOS angreb ved at vende angrebet imod reflektorerne. Du kender ikke IP-adressen på angriberen, men du kender IP-adresserne på de maskiner der bruges til at reflektere og forstærke angrebet. Hvorfor ikke sende pakke tilbage til de IP-adresser, som får dem til at angribe sig selv? Og dermed få reflektorerne til at gå offline, så at de ikke kan fortsætte som del af angrebet imod dig.

Hvis ens forretning bliver angrebet, så ville det da være oplagt at vende angrebet på den måde. Det er jo ligeså ulovligt at maskinerne angriber dig, som du angriber dem. Skelner loven mellem "fysisk selvforsvar" og "IP selvforsvar" ?
Hvis det nogensinde kom til en retsag, ville den ikke falde til jorden alligevel så ?

  • 0
  • 0
Finn Christensen

Jeg er mere interesseret, i hvad der bliver gjort for at stoppe det. Det burde være lovpligtigt, at tage en service offline, hvis der er tegn på at den bliver brugt til et angreb.

Ja der er åbenbart lidt for nemme penge at tjene og så lader man bare sikkerheden ryge. Nogle mennesker er sør'm ligeglade med på hvilken side af brødet smørret er - det er misbrug af international lov, aftaler og regler.

Når de formastelige mister trafikken og indtjeningen, så plejer det at hjælpe gevaldig på opgraderingen - selv en rockerklub accepter ikke og ser ikke mildt på faldende indtægter :)

...i løbet af sidste år dukkede en stribe web-scanningsværktøjer frem, som gør det relativt nemt at finde frem til sårbare webtjenester..

Fint, så er det blot at finde de tumper, der ikke kan læse indenad, billigt og nemt for samfundet at lukke for de brodne kar.

(Sker det så, i næste uge eller i dette år -lukker de faktisk ned for tumper med upatched grej? ...nej da, men jeg har da lov til at tro på, at der findes mindst en menneske ud af 6-7 mia., der stadig har en smule hjerne intakt)

  • 0
  • 2
Henrik Kramshøj Blogger

Løsningen på problemet hedder Unicast Reverse Path Forwarding (Unicast RPF), hvis ens netværks udstyr vel og mærker understøtter det.

Det er en del af løsningen, men generelt mere egress-filtering, samt ting som RPKI vil forhåbentlig hjælpe på det. Så BCP 38 og venner http://www.bcp38.info/index.php/Main_Page - men det tager lang tid ...

Vi ser også at NTP servere hurtigt bliver fundet, og udnyttet - og dermed gør opmærksom på sig selv - så det kan fjernes.

Så, det gode er at NTP og andre reflektive angreb bliver VOLDunyttet og dermed mindskes antallet af servere henover tid. Jeg plejer at henvise til oversigten fra US-cert https://www.us-cert.gov/ncas/alerts/TA14-017A?utm_source=Internet+Storm+... og der er som det ses flere protokoller at boltre sig med.

Politiske tiltag og lovforslag, altså WTF - troede IT-folk herinde vidste at man meget sjældent kan løse internet (internationale cross-border), tekniske og menneskelige problemer med lovgivning.

  • 0
  • 0
Baldur Norddahl

Politiske tiltag og lovforslag, altså WTF - troede IT-folk herinde vidste at man meget sjældent kan løse internet (internationale cross-border), tekniske og menneskelige problemer med lovgivning.

Det er allerede underlagt temmelig meget lovgivning. Hvorfor blev jeg ellers tvunget til at få en sikkerhedsgodkendelse fra både politiet og forsvarets efterretningstjeneste da jeg ville oprette en ISP?

Alt hvad jeg kræver er at transitudbyderne tvinges til at tage ansvar for ikke at route åbenlys falsk trafik. De tjener penge på DOS angreb og det burde ikke være lovligt. Det er muligvis ikke lovligt. Men jeg kan dårligt sagsøge dem, for så smider de mig bare ud som kunde. Derfor har jeg brug for at myndighederne griber ind.

  • 0
  • 0
Henrik Kramshøj Blogger

Det er allerede underlagt temmelig meget lovgivning. Hvorfor blev jeg ellers tvunget til at få en sikkerhedsgodkendelse fra både politiet og forsvarets efterretningstjeneste da jeg ville oprette en ISP?

Alt hvad jeg kræver er at transitudbyderne tvinges til at tage ansvar for ikke at route åbenlys falsk trafik. De tjener penge på DOS angreb og det burde ikke være lovligt. Det er muligvis ikke lovligt. Men jeg kan dårligt sagsøge dem, for så smider de mig bare ud som kunde. Derfor har jeg brug for at myndighederne griber ind.

To ting, øhh godkendelse som ISP? - jeg er så vidt jeg ved også ISP, LIR og sælger internetorbindelser - hvad overtræder jeg af lovgivning? eller hvor ser du det krav?

Nr 2 - du ved (burde vide) at det absolut IKKE er trivielt at lave den slags - og slet ikke når det er ude ved transitudbyderen. Den globale routing tabel indeholder ~500.000 routes/prefixes og det eneste du pt. kan validere er at der findes en route tilbage, uRPF som nævnt tidligere. Når du beder om en transitforbindelse får du revl og krat - som du netop har bedt om. Ingress/egress filtering skal ske hvor trafikken genereres.

(Til spørgsmål, hvor mange af læserne som himler op her sikrer at de IKKE laver reverse DNS på 10/8 og andre RFC1918 adresserum? Jeg tør vædde på at manges netværk sender en lind strøm af disse reverse DNS forespørgsler på 192.168.1.10 og andre som de bruger hjemme - hvorfor sender I dem ud i verden? Læs mere om dette emne på https://www.as112.net/ og fej for jeres egen dør? ;-) )

Du KAN vælge en kvalitetsudbyder, Level3 var tidligere supergode fordi de krævede mere af kunderne, men så'rn ca. - du får hvad du betaler for.

Mht. lovgivningen er det flintrende ligegyldigt om vi så lavede krav om RPKI i HELE EU, da trafikken blot ville komme fra andre dele af verden. Lige så tåbeligt da Merkel blev citeret for noget lignende, hvad hun måske ikke sagde, men ideen er fuldstændigt hamrende tåbelig. Vi er afhængige af hinanden på internet, og det ender med at vi får mindre net-neutralitet, mere overvågning, og dårligere og meget dyrere internet hvis vi stiller (tåbelige) krav.

Det som virker er et samarbejde med dem som vil os det godt, information til dem som har de dårligste netværk - og så blokering af de værste syndere, i stil med spamhaus DROP. Det kunne være ved at joine og give feedback på http://wp.internetsociety.org/routingmanifesto/wp-content/uploads/sites/... og andre ISOC tiltag?

  • 2
  • 0
Baldur Norddahl

Forsvarets efterretningstjeneste: Godkendelse til niveau "fortroligt" for at få adgang til kritisk infrastruktur som er en del af beredskabet (Samhusning ved TDCs telefoncentraler).

Politiet: Godkendelse til niveau "yderst hemmeligt" som følge af teleloven, der kræver at internetudbyderen bistår politiet ved aflytninger.

Du er også en ISP men en anden slags ISP :-).

Nej det er ikke trivielt og slet ikke så simpelt som at slå uRPF til. Men det er hellere ikke umuligt. F.eks. så er trafik udefra EU med mine IP-adresser helt sikkert falsk trafik. Måske man tilmed kan tage det meste af RIPEs tildelinger og droppe pakker der kommer ind udefra RIPEs områder. Ja der er nok nogle undtagelser, men det må man så kode ind. Alt det kan loades ind som en stak ACL eller router fabrikanterne kunne lave support for det.

At sige BCP38 virker ikke. Det er cirka ligeså nemt som at vedtage at alle skifter til IPv6 efter sommerferien. Vi er nødt til at kræve noget mere af de centrale aktører, for de er få og kan faktisk gøre noget. At kræve at samtlige 50000+ netværk, med eget AS nummer, handler er omsonst.

Vi kan ikke vedtage at de skal gøre et eller andet i Asien så lad os glemme det. Men lad os dog filtrere trafikken derfra, så at åbenlys falsk trafik droppes.

Vi KAN vedtage at trafik internt i EU skal filtreres hver gang det skifter netværk.

Det er ikke rigtigt at det eneste vi kan validere er routes baseret på reverse BGP. Der er også en route policy i RIPEs Whois database som rekursivt kan analyseres, for at beregne hvorfra en given source IP kan og ikke kan komme ind.

TDC gør det iøvrigt overfor os. De acceptere ikke hvad som helst, det skal være registreret hos RIPE før at TDC tager imod det. Cogent er derimod ligeglade og accepterer alt. Jeg vil have Cogents opførsel forbudt.

  • 1
  • 0
Baldur Norddahl

Cogent:

whois -h whois.radb.net as174 | grep 60876  
import:         from AS60876 accept ANY  
export:         to AS60876 announce ANY  
mp-import:      afi ipv6.unicast from AS60876 accept ANY  
mp-export:      afi ipv6.unicast to AS60876 announce ANY

TDC:

whois -h whois.radb.net as3292 | grep 60876  
import:         from AS60876 212.130.228.134 accept AS60876  
mp-import:      afi ipv6.unicast from AS60876 2001:6c8:41:100:0:b0:c:2 accept AS60876  
import:         from AS60876 194.239.5.50 accept AS60876  
mp-import:      afi ipv6.unicast from AS60876 2001:6c8:41:100:0:b0:d:2 accept AS60876  
export:         to AS60876 212.130.228.134 announce ANY  
mp-export:      afi ipv6.unicast to AS60876 2001:6c8:41:100:0:b0:c:2 announce ANY  
export:         to AS60876 194.239.5.50 announce ANY  
mp-export:      afi ipv6.unicast to AS60876 2001:6c8:41:100:0:b0:d:2 announce ANY

Den første viser Cogents routing policy, som er at acceptere ALT fra min ISP (Gigabit). Det på trods af at jeg altså ikke har solgt transit til Cogent...

Den anden viser TDCs routing policy, som er kun at acceptere trafik fra Gigabit og ikke andet. Det er sådan det skal være.

TDC har to filtre. De vil for det første ikke acceptere routes til andre end mit AS nummer. Hvis jeg solgte transit, så ville de naturligvis også acceptere routes fra mine transitkunder (med et AS-set).

Det andet filter er at de har en ACL på vores accessport, så at hvis jeg sender pakker med IP-adresser, der ikke tilhører mig, så bliver de droppet. Hvordan ved de hvilke IP-adresser der er mine? Simpelt:

whois -i origin as60876  
% Information related to '185.24.168.0/22AS60876'  
   
route:          185.24.168.0/22  
descr:          Gigabit ApS  
origin:         AS60876  
mnt-by:         GGBI-MNT  
source:         RIPE # Filtered  
   
% Information related to '2a00:7660::/32AS60876'  
   
route6:         2a00:7660::/32  
descr:          Gigabit ApS  
origin:         AS60876  
mnt-by:         GGBI-MNT  
source:         RIPE # Filtered

Til sammen sikrer de to filtre at jeg ikke kan modtage trafik, som ikke er til mig, og at jeg ikke kan sende trafik, som ikke er legit.

Der findes værktøjer det automatisk bygger en router konfigurationsfil ud fra disse oplysninger.

Hvis nu bare tier 1 og tier 2 transitudbyderne blev enige om at gøre som TDC, så ville det faktisk være irrelevant om de mindre udbydere får implementeret filter. Nogle få aktører kunne sætte en ret effektiv stopper for det her. Hvorfor gør de det ikke? Inkompetence? Næppe. De har simpelthen ikke nogen interesse i det, så længe at de kan tjene penge på at sælge ekstra kapacitet til os andre. Vi er nødt til at købe det, hvis vi vil kunne overleve et DoS angreb.

  • 2
  • 0
Log ind eller Opret konto for at kommentere