Indiszkrét bombázás, profin kivitelezve
A támadók mintegy 22 000 különböző célportot bombáztak egyetlen IP-címen, amely egy Cloudflare-ügyfélhez tartozott, sőt összesen 34 500 portot céloztak meg. A támadás fő eszköze az úgynevezett UDP flood volt: brutális mennyiségű adatcsomagot zúdítottak véletlenszerű vagy konkrét portokra, így túlterhelve az áldozat internetkapcsolatát és belső erőforrásait.
A UDP különösen ideális ilyen visszaéléshez, mert nem igényel kezdeti kapcsolatfelvételt, így a támadók bármiféle előzetes engedély vagy válasz nélkül áraszthatják el a célpont szerverét. Ilyenkor a megtámadott rendszer kénytelen visszaküldeni ugyanannyi választ, amivel végül megrogyik a háttérfolyamatok terhe alatt, és a valós forgalmat már nem képes kiszolgálni.
Reflektív támadások, tükörbe néző fenyegetés
A támadás elhanyagolható, mindössze 0,004 százalékos része úgynevezett reflektív támadás volt. Ilyenkor a rosszindulatú csomagokat harmadik felekhez – például Network Time Protocol szerverekhez (NTP szerverekhez) – irányítják, és az áldozat IP-címével álcázzák. A válaszforgalom pedig már automatikusan a célponthoz érkezik, ami megnehezíti a védekezést és megsokszorozza a támadás hatékonyságát.
Nem véletlen, hogy a támadók kedvelik a reflektív módszereket: egyrészt a forgalom szinte bárhonnan érkezhet, másrészt egyes válaszüzenetek akár ezerszer nagyobbak is lehetnek az induló kéréseknél, óriásira növelve a támadás erejét. Bár a szerveradminisztrátoroknak régóta javasolják a biztonsági beállítások szigorítását, sokan még mindig nem foglalkoznak a fenyegetéssel.
A támadás során több protokollt is manipuláltak: a Network Time Protocolt (szerveridő-szinkronizálás), a Nap idézete protokollt (Quote of the Day – UDP 17-es porton rövid idézettel válaszol), az Echo protokollt (a kapott adatot visszaküldi), valamint Portmapper szolgáltatásokat, amelyek távoli eljáráshívásokhoz tartozó erőforrásokat térképeznek fel. Mindehhez Mirai-alapú botneteket is bevetettek, amelyek tipikusan otthoni routerekből, webkamerákból és egyéb okoseszközökből állnak össze.
Botnetek és a méretverseny
Az ilyen méretű DDoS-támadás már nem egyedi: az elmúlt években folyamatosan nő az ilyen támadások mérete. A Nokia egy 6,5 terabit/másodperces támadást jelentett az Eleven11bot botnetből, májusban pedig a KrebsonSecurity (KrebsonSecurity) ellen is 6,3 terabit/másodperces csapást mértek. Az új rekorder viszont jelentősen felülmúl mindent, amit eddig tapasztaltunk az online hadszíntéren.
