Технология Universal plug-and-play становится новым источником DDoS-атак

Специалисты подразделения по обеспечению кибербезопасности и реагированию на угрозы (PLXsert) крупнейшей технологической компании Akamai сообщают о новом тренде в организации DDoS-атак. В последнее время злоумышленники все чаще используют для них простой протокол обнаружения сервисов SSDP. Он является основным протоколом обнаружения устройств технологии Universal plug-and-play и широко используется в роутерах, игровых консолях, мобильных и других устройствах.

Злоумышленникам удалось обнаружить, что определенным образом сформулированный запрос протокола влечет за собой развернутый ответ, который существенно больше самого запроса. И умноженный таким образом трафик может быть перенаправлен на жертв атаки. При этом степень усиления трафика при использовании SSDP-отражения намного ниже, чем, например, при использовании сетевого протокола времени NTP, который до недавнего времени оставался излюбленным «оружием» организаторов DDoS-атак. Однако это компенсируется огромным числом подключенных к глобальной сети устройств, которые используют SSDP и потенциально могут быть задействованы в атаке. Эксперты Akamai выяснили, что максимальное число таких устройств приходится на Южную Корею, США, Канаду, Китай, Аргентину и Японию. Компания констатирует стабильный рост подобных DDoS-атак и приводит в пример одну из них, мощность которой достигала на пике 54,35 Гбит/с.

«Организаторы DDoS-атак постоянно совершенствуют свои методы и ищут новые инструменты для их проведения. Тенденция такова, что злоумышленники постепенно отказываются от использования бот-сетей, и арендуют выделенные серверы, трафик от которых проходит через усилители и направляется на адреса жертвы. В качестве усилителей традиционно используются открытые DNS и NTP-серверы, но их число постоянно должно расти, так как мощность атак увеличивается с каждым годом. И появление новых видов сервисной инфраструктуры будет способствовать еще более широкому распространению DDos-атак», - прокомментировала сообщение заместитель генерального директора Технического центра Интернет Марина Никерова.