Suivi des réflecteurs UDP pour un Internet plus sûr

NRZ.Digital
0 0

Ces dernières années, les événements de déni de service distribué (DDoS) sont devenus une menace omniprésente, avec un trafic d’attaque poussant à des niveaux mesurés en térabits par seconde (Tbps). L’un des outils clés dont disposent les cybercriminels cherchant à augmenter la bande passante de leurs attaques est la réflexion basée sur l’UDP. Par exemple, l’attaque DDoS de 2018 sur GitHub a utilisé un service de couche application appelé Memcached pour diriger, au pic, 1,35 Tbps de trafic UDP réfléchi vers les serveurs de GitHub. En 2020, l’industrie a appris l’existence d’une attaque DDoS en 2017 qui a utilisé un ensemble de services UDP en tant que réflecteurs (CLDAP, DNS et SMTP) pour atteindre des débits de fil allant jusqu’à 2,5 Tbit / s.

Chez Black Lotus Labs, nous tirons parti de la visibilité de notre réseau mondial pour identifier les services potentiellement manipulés pour lancer des attaques, tels que les instances Memcached, CLDAP et DNS, puis nous travaillons pour confirmer s’ils sont ouverts à l’utilisation comme réflecteurs. Sur la base de nos données du premier trimestre 2021, nous constatons que chacun de ces services est activement utilisé pour lancer des attaques DDoS importantes aujourd’hui.

Memcached, le grand réflecteur BAF

L’intérêt de Black Lotus Labs pour Memcached est dû à son facteur d’amplification de bande passante (BAF) remarquablement élevé. Un BAF est le rapport entre les octets de réponse réfléchis sur la cible et les octets de demande envoyés au réflecteur par l’attaquant; un BAF de 5 signifie pour chaque octet envoyé au réflecteur il dirige 5 octets vers la cible. Le jour, Memcached est un service de mise en cache distribué et assidu conçu pour aider votre page Web à se charger plus rapidement. Le plus souvent déployé pour prendre en charge les clusters de serveurs Web pour éliminer les appels inutiles à la base de données en mettant en cache les données, il n’y a aucune raison pour que Memcached soit exposé à Internet public. Si vous n’exposiez pas votre base de données principale à l’Internet public, pourquoi mettriez-vous votre service de mise en cache principal? Bien que toutes les instances Memcached faisant face à Internet ne soient pas ouvertes à l’utilisation dans les attaques par réflexion, nous avons déterminé qu’un certain nombre d’entre elles pourraient être utilisées pour la réflexion dans une attaque DDoS.

La détermination de savoir si une instance Memcached donnée constitue un réflecteur ouvert est un simple calcul: répondent-elles aux commandes de protocole via UDP? Memcached prend en charge son service de mise en cache avec un protocole accessible via TCP ou UDP, et seul UDP peut être utilisé pour ce type d’attaque. Comme on peut s’y attendre d’un service de mise en cache, ce protocole comporte des commandes telles que Set et Get. Set vous permet de stocker des blocs arbitraires de données sous une clé donnée. Get, inversement, vous permet de récupérer les données par clé. La clé peut être assez petite tandis que les données stockées sous la clé peuvent atteindre 1 Mo avec une configuration prête à l’emploi. Cela signifie qu’un très petit paquet de requête, mesuré en dizaines d’octets, peut générer une réponse beaucoup plus importante. Dans le cas de Memcached, le Le FBA est de 10 000 à 51 000x. Il s’agit d’une amplification de bande passante élevée à l’extrême: une connexion Internet de 100 Mbps pourrait produire un volume d’attaque allant de 125 Gbps à plus de 630 Gbps. Il y a quelques années, après une série d’attaques notables de Memcached, la communauté Internet a fait un effort concerté pour atténuer la plus de 35 000 serveurs Memcached accessibles au public. Pourtant, comme le montre la carte thermique suivante, il y a encore actuellement plus de 1500 services Memcached ouverts exposés sur Internet, avec, géographiquement, la Chine et les États-Unis se taillant la part du lion.

Distribution mondiale des services Memcached exposés à Internet

Fonctionnement de la réflexion UDP

Bien que d’autres services de réflecteur UDP n’aient pas le même BAF que Memcached, la réflexion fonctionne de la même manière pour tous les services UDP. Regardons la structure d’une attaque par réflexion UDP. Dans la figure suivante, nous avons trois composants: l’initiateur de l’attaque, le service de réflecteur et le système cible.

Réflexion UDP avec usurpation IP

Comme le montre la figure ci-dessus, la réflexion dépend de l’incitation du service de réflecteur à envoyer la charge utile de réponse au système cible plutôt que de retourner au système initiateur d’attaque. Cet acte de réflexion dépend de l’usurpation d’adresse IP; La grande faiblesse d’UDP est qu’il permet l’usurpation d’identité. Pour usurper une adresse IP dans une communication UDP, il vous suffit de mettre l’adresse IP du système cible comme adresse source dans l’en-tête du paquet IP. Avec UDP, rien d’inhérent au protocole ne l’empêche.

Pourquoi UDP autorise-t-il l’usurpation d’identité alors que TCP l’interdit? Considérez ceci: si le service Memcached est uniquement ouvert à la communication TCP, vous pouvez toujours émettre la même commande Get pour récupérer la bombe de données volumineuses, mais vous ne pourrez pas usurper l’adresse de retour. Ceci est dû au fait que vous auriez dû terminer avec succès la négociation à trois de TCP pour établir une connexion avant d’envoyer des paquets avec des commandes Memcached réelles. TCP nécessite l’échange de plusieurs paquets administratifs pour établir la connexion avant toute communication réelle; c’est la poignée de main à trois. Lorsque cette poignée de main est terminée, les deux côtés de la communication savent précisément qui est à l’autre bout de la connexion. Lorsqu’un paquet TCP contenant la commande Get apparaît sur l’instance Memcached, si son adresse source ne correspond pas à l’état de la connexion, il ne sera pas desservi.

D’un autre côté, UDP ne prend même pas la peine de suivre les connexions. C’est un peu comme répondre au téléphone avant l’ère de l’identification de l’appelant; à moins que vous ne vouliez risquer de manquer un appel d’un ami, vous étiez obligé de répondre à chaque fois qu’il sonnait, vous laissant ainsi vulnérable à toutes sortes d’appels de farce et d’appels de vente prédateurs. De même, chaque paquet UDP qui arrive doit être pris à sa valeur nominale. UDP n’a tout simplement pas la capacité d’examiner l’adresse source et de dire: «Hé, je ne parlais pas à cette personne. D’où est-ce que sa vient? »

Étant donné que cette lacune appartient à UDP lui-même, tout service implémenté sur celui-ci peut être utilisé comme un réflecteur ouvert. Pour confirmer qu’un service UDP peut être utilisé comme réflecteur, il suffit de tester que le service répond aux requêtes, comme nous l’avons vu avec Memcached.

Principaux services UDP lançant des attaques

Bien que nous ayons observé plus de 1 500 serveurs Memcached ouverts à l’utilisation dans des attaques réflexives, Memcached n’est pas le seul protocole de réflexion en matière d’abus. Des protocoles tels que LDAP sans connexion (CLDAP), NTP, SSDP, DNS et bien d’autres peuvent être utilisés pour la réflexion. En examinant nos données au cours des derniers mois, quelques-uns d’entre eux se classent beaucoup plus haut que Memcached pour la taille de la plus grande attaque observée. Cela est attendu en raison de la tendance générale à la baisse des réflecteurs Memcached disponibles pour usage abusif.

Répartition des plus grandes attaques UDP observées au 1T21

LDAP sans connexion

Le LDAP sans connexion, en particulier, constitue une menace importante compte tenu de la combinaison d’un facteur d’amplification de bande passante 50-70x et d’une disponibilité généralisée en raison de son utilisation associée dans Active Directory. Nous avons examiné les adresses IP observées recevant une demande de réflexion potentielle de 67 octets sur le port UDP 389 et ayant répondu avec des données sur UDP 389 à un moment donné au cours du trimestre. En utilisant cette méthodologie, Black Lotus Labs a découvert plus de 281 000 adresses IP uniques qui semblent répondre aux demandes de réflexion CLDAP.

En outre, le CLDAP a été mis à profit dans plusieurs attaques récentes à grande échelle, telles que Attaque de 2,3 Tbps contre Amazon en 2020 ou plus récemment lorsque nous avons découvert l’attaque du 4 mai 2021 contre l’un des FAI du gouvernement belge, Belnet.

Au moment de l’attaque Belnet, Black Lotus Labs a observé que plus de 78% du trafic destiné à Belnet est passé de la norme attendue de HTTP / HTTPS à presque entièrement CLDAP. Bien que nous ayons observé une certaine augmentation dans d’autres protocoles réfléchissants, aucun ne semble avoir généré autant de trafic d’attaque par bande passante que CLDAP.

Pourcentage du trafic Belnet par protocole

Le DNS lui-même comme vecteur de réflexion

En plus des abus avec CLDAP, DNS est un autre protocole souvent utilisé par rapport à UDP et qui peut être potentiellement utilisé pour des attaques par réflexion. Alors que certains résolveurs DNS ouverts limiteront les types de requêtes qui sont souvent utilisées abusivement pour la réflexion, cette méthodologie n’est pas une solution parfaite pour arrêter tous les types d’attaques DNS réfléchissantes.

Lorsque les attaquants cherchent à lancer une attaque réflexive avec DNS, ils ont besoin d’un domaine et d’un type d’enregistrement qui renverront une réponse importante. Certains des types d’enregistrement les plus courants qui renvoient des valeurs élevées sont ANY, SRV et TXT. Après avoir supprimé A / AAAA, qui est le plus grand volume de requêtes DNS que nous voyons couramment, TOUTES les requêtes représentent une partie très importante des requêtes restantes que nous observons sur Internet.

Pourcentage de TOUTES les requêtes DNS

Que pouvons-nous faire de plus?

Le nettoyage des sources DDoS réfléchissantes sur Internet est un problème complexe qui nécessite un effort continu de la communauté. Les organisations qui exposent des services sur Internet doivent être conscientes de la manière dont ils peuvent être utilisés pour participer à des attaques DDoS réfléchissantes et ne pas les exposer ou mettre en œuvre des mesures pour les atténuer. Les fournisseurs de services Internet, les fournisseurs de services de sécurité gérés et les chercheurs en sécurité peuvent également aider en informant leurs clients lorsqu’ils voient des services réfléchissants exposés et manipulés. Ces efforts ont permis de réduire considérablement le nombre d’instances Memcached exposées au cours des dernières années.

Pour notre part chez Lumen, lorsque nous trouvons des réflecteurs ouverts hébergés dans les réseaux de nos clients qui sont utilisés de manière abusive pour causer des dommages substantiels sur Internet, nous les contactons de manière proactive pour mieux comprendre l’intention du service et partager des conseils sur la façon d’y remédier. le danger.

Si vous souhaitez collaborer à des recherches similaires, veuillez nous contacter sur Twitter @BlackLotusLabs.

Pour en savoir plus sur les menaces DDoS et les tendances des attaques, consultez le rapport trimestriel Lumen DDoS pour le 1T21.

Apprendre encore plus

Ces informations sont fournies «telles quelles» sans aucune garantie ou condition d’aucune sorte, expresse ou implicite. L’utilisation de ces informations est aux risques et périls de l’utilisateur final.



Happy
Happy
0
Sad
Sad
0
Excited
Excited
0
Sleppy
Sleppy
0
Angry
Angry
0
Surprise
Surprise
0

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Laisser un commentaire

Next Post

Marketing de cabinet d'avocats - une stratégie digitale complète

Les clients recherchent des conseils juridiques en ligne avant de choisir un cabinet d’avocats. Construire un écosystème numérique solide dans le cadre de la stratégie marketing de votre cabinet d’avocats garantit que votre expertise est trouvée et qu’ils vous appellent en premier. Quels défis une stratégie marketing de cabinet d’avocats […]

Abonnez-vous maintenant