Увеличилось число DDoS атак, направленных на NTP-серверы

В начале 2014 года специалисты по безопасности предупреждали о нарастающем количестве атак, направленных на NTP-серверы.

NTP (Network Time Protocol) это UDP — протокол, который используется для синхронизации часов в компьютерной сети. Любой UDP-сервис в том числе DNS, SNMP, NTP, Chargen и RADIUS является потенциальным вектором для DDoS атак, потому что протокол без установления соединения и источник IP -адреса могут быть подменены злоумышленниками. NTP является популярным из-за большой возможности усиления (около 1000x). Кроме того, становятся доступными различные инструменты для атак, что делает эти атаки легко выполнимыми.

Компания Arbor Networks, поставщик решений для защиты от DDoS компаний и интернет-провайдеров, обнародовала данные мониторинга глобального трафика и DDoS атак (в системе ATLAS) за 1 квартал 2014 года. Результаты показывают беспрецедентный всплеск объемных атак, направленных на NTP.
В системе ATLAS участвуют почти 300 клиентских сетей, в том числе сервис-провайдеров, которые подают анонимные данные о трафике в Arbor, для того чтобы составить всеобъемлющий, агрегированный вид глобального трафика и угроз. ATLAS собирает 80TB/sec трафика и предоставляет данные про атаки на карте, визуализирующей глобальный трафик атак, созданной на базе Google.

NTP атаки – ключевые результаты
Средний объем трафика, генерируемый по NTP, в ноябре 2013 был 1,29 ГБ/с, к февралю 2014 стал 351,64 ГБ/с.
NTP был использован в 14% общего количества DDoS, при этом 56% событий более 10 Гб/с и 84,7% событий более 100 ГБ/с.

ARBOR_NTP_attack_Q12014 reportARBOR_NTP_attack_Q12014 report_2

Самая крупная атака в 1 квартале 2014 года – 325Гб/с.
Зафиксировано 72  атаки более 100 ГБ/с.
В 1 квартале 2014 года было в 1.5 раза больше атак 20 Гб / с , чем за весь 2013 год.

По материалам компании Arbor Networks.
Подробнее с отчетом можно ознакомиться на сайте компании.