Arbor Networks Inc., leader nelle soluzioni per la protezione da attacchi DDoS e minacce avanzate rivolte a reti enterprise e service provider, ha pubblicato i dati relativi agli attacchi DDoS globali ricavati da ATLAS, la propria infrastruttura per il monitoraggio delle minacce. I dati mostrano un picco di attacchi volumetrici senza precedenti favorito dalla proliferazione degli attacchi a riflessione/amplificazione di pacchetti NTP.

NTP è un protocollo basato su UDP che viene adoperato per sincronizzare orologi attraverso una rete informatica. Tutti i servizi basati su UDP, quindi anche DNS, SNMP, NTP, chargen e RADIUS, sono potenzialmente vettori di attacco DDoS dal momento che il protocollo è di tipo connectionless, e gli indirizzi IP di origine possono essere falsificati dagli attaccanti che hanno il controllo di host compromessi (o “botted”) residenti su reti che non hanno implementato misure anti-spoofing basilari. NTP è un protocollo molto apprezzato dagli attaccanti a causa della sua elevata percentuale di amplificazione, pari a circa 1000x. Inoltre, iniziano a essere di facile reperibilità i tool dedicati ad attacchi di questo genere, rendendoli più semplice da lanciare.

ATLAS è una partnership collaborativa con quasi 300 service provider che condividono con Arbor dati di traffico anonimizzati allo scopo di ottenere una visione aggregata completa del traffico e delle minacce a livello globale. ATLAS raccoglie 80TB/sec di traffico e fornisce i dati necessari a costruire la Digital Attack Map, una visualizzazione del traffico globale relativo ad attacchi creata da Google Ideas.

Dati salienti sugli attacchi NTP

• Il traffico NTP globale medio era di 1,29 GB/sec a novembre 2013; a febbraio 2014 era salito a 351,64 GB/sec
• NTP è stato usato nel 14% degli eventi DDoS complessivi, ma nel 56% degli eventi  superiori a 10 GB/sec e nell’84,7% di quelli superiori a 100 GB/sec
• Stati Uniti, Francia e Australia sono stati gli obiettivi complessivamente più colpiti
• Stati Uniti e Francia sono stati gli obiettivi più colpiti dagli attacchi di grandi dimensioni

“Arbor continua a monitorare e mitigare gli attacchi DDoS dal 2000. Il picco delle dimensioni e della frequenza degli attacchi di grandi dimensioni avvenuti sinora nel 2014 non ha precedenti”, ha dichiarato Darren Anstee, Director of Solutions Architects di Arbor Networks. “Questi attacchi sono divenuti talmente grandi da rappresentare una minaccia estremamente seria per l’intera infrastruttura Internet, dagli ISP fino alle aziende”.

Risorse su NTP:

Arbor Networks ha seguito puntualmente la crescita degli attacchi NTP fornendo una vasta quantità di dati, ricerche, analisi e best practice.

• Webinar: Too Much Time on My Hands: Network Scale Mitigation of NTP DDoS Attacks (La mitigazione degli attacchi DDoS NTP su scala di rete)
• Arbor Security Engineering & Response Team (ASERT): Threat Intel Brief (Il punto sulle minacce)
• Blog post: NTP Attacks: Welcome to The Hockey Stick Era (Attacchi NTP: benvenuti nell’era della mazza da hockey)  NTP attacks continue – a quick look at traffic over the past few months (Gli attacchi NTP proseguono – Una rapida occhiata al traffico dei mesi scorsi”) e The Danger of the Latest NTP Attacks (Il pericolo degli ultimi attacchi NTP)