FlowGuard zachytil 18 miliard paketů útočících na DNS servery

Služba FlowGuard zajišťující maximální dostupnost on-line služeb, sítí a infrastruktury zachytila 18 miliard paketů útočících na DNS servery. Jak takový útok probíhá? Jaké jsou zdroje útoků? Dnes vás necháme nahlédnout do kuchyně FlowGuardu a ukážeme podrobnosti tohoto zcela mitigovaného DDoS útoku.

Pro analýzu vybraného útoku byla použita data získaná z Netflow archivu služby FlowGuard Infrastructure Protection. Útok probíhal dne 01.09.2020 od 15:36:00 do 16:46:00.

Cíle a vektory útoku

Cílem útoku byly dvě IP adresy, na kterých jsou provozovány DNS servery. Útok měl několik vektorů:

• NTP reflection (UDP/123) – Odpověď legitimních NTP serverů na podvrženou IP adresu tazatele.
• DNS reflection (UDP/53) – Odpověď legitimních DNS serverů na podvrženou IP adresu tazatele.
• LDAP reflection (UDP/389) – Odpověď legitimních LDAP serverů na podvrženou IP adresu tazatele.
• WSD (WS-Discovery) reflection (UDP/3702) – Odpověď legitimních WSD serverů na podvrženou IP adresu tazatele.
• UDP fragment flood (UDP/0) – Záplava fragmentů UDP packetů.

Výše uvedené vektory útoku jsou poměrně běžné, ale intenzita útoku nebyla obvyklá. Takto silné útoky se vyskytují cca 2x za měsíc.

Poznámka: Zdrojové IP adresy jednotlivých vektorů útoku nebyly podvržené a byly uloženy do reputační databáze.

Průběh útoku

Útok trval 70 minut. Obsahoval 18 miliard packetů při maximální kadenci 6.2 Mpps. Celkem jsme zákazníkovi ušetřili přenos 15.4 TB dat.

Následují detailní informace o průběhu útoku. Jednotlivé časové průběhy jsou vztažené ke dvouminutovým oknům, ve kterých je prováděn export Netflow z routerů.

Časový průběh packetového přenosu, který určuje intenzitu útoku. PPS jsou rozhodující veličinou z hlediska zatížení síťových prvků.

Datový průběh je významný z hlediska saturace datových tras.

Počet unikátních IP adres nám říká počet zdrojových IP adres, které se podílejí na útoku.

Z grafu průměrné velikosti přenášeného packetu je možné odvodit, které vektory útoků cílí na vyčerpání systémových prostředků síťových prvků a které na vyčerpání kapacity přenosových tras.

Zdroje útoku

Pro analýzu zdrojů útoku byly použité zdrojové IP adresy, které se podílely na útoku a bylo u nich vyloučeno jejich podvržení. Tyto IP adresy byly následně identifikovány pomocí GeoIP2 databáze.

Dle kontinentů

• Rozdělení útoků dle kontinentů, ze kterých pocházela zdrojová IP adresa.
• Výskyt je vyjádřen pomocí počtu unikátních IP adres registrovaných na daném kontinentu.
• Intenzita je vyjádřena pomocí poměrného množství packetů vyslaných z IP adres registrovaných na daném kontinentu.

Dle zemí

• Rozdělení útoků dle zemí, ze kterých pocházela zdrojová IP adresa.
• Výskyt je vyjádřen pomocí počtu unikátních IP adres registrovaných v dané zemi.
• Intenzita je vyjádřena pomocí poměrného množství packetů vyslaných z IP adres registrovaných v dané zemi.

Dle autonomních systémů

• Rozdělení útoků dle autonomních systémů, ze kterých pocházela zdrojová IP adresa.
• Výskyt je vyjádřen pomocí počtu unikátních IP adres registrovaných v daném autonomním systému.
• Intenzita je vyjádřena pomocí poměrného množství packetů vyslaných z IP adres registrovaných v daném autonomním systému.

Geografické umístění IP adres

Geografická lokace IP adres, ze kterých byly zachycené útoky.