Nieuwe DDoS-aanvalsmethode in opkomst
Spamhaus heeft een nieuw type gedistribueerde denial-of-service-aanval (DDoS) vastgesteld dat recentelijk populair is geworden bij cybercriminelen. In de afgelopen maand hebben verschillende beveiligingsbedrijven en wetshandhavingsinstanties onderzoeken uitgevoerd naar deze aanvallen. Tijdens december 2011 volstond Spamhaus een SNMP DDoS aanval van ongekende omvang, die tot de grootste DDoS-aanvallen op het internet behoort. Dankzij onze anti-DDoS middelen konden we effectieve maatregelen treffen om deze aanval te mitigeren en werken we samen met wetshandhaving en beveiligingspartners om de daden van de aanvallers te stoppen.
Werking van de nieuwe DDoS-vector
Deze DDoS-methode is vergelijkbaar met de oudere DNS Amplification Attack, maar maakt gebruik van Simple Network Management Protocol (SNMP) services om een stroom UDP-pakketten te reflecteren en te amplificeren naar het DDoS-doelwit. De pakketten van de aanvaller bevatten vervalste IP-adressen, waardoor de SNMP-server, waarop deze pakketten worden verzonden, reageert met grote UDP-pakketten naar het vervalste adres, dat eigendom is van het slachtoffer. Dit amplificatieresultaat kan leiden tot enorme verkeersvolumes vanuit een relatief kleine inputstroom, waardoor de ‘pijpen’ naar de server van het slachtoffer verstopt raken.
Effectieve mitigatie en preventie
Mitigatie van deze aanvallen is vergelijkbaar met andere DDoS-aanvallen: identificeer de ongewenste pakketten (die meestal groot en gefragmenteerd zijn, wat identificatie vergemakkelijkt), filter ze eruit en firewalle IP-adressen die deze pakketten uitstoten of reflecteren zo ver mogelijk van de slachtoffer-IP-adressen. Een betrokken upstream-host is daarbij van groot belang.
Proactieve maatregelen kunnen veel schade aan het internet en aan andere netwerken voorkomen. Het filteren van verkeerd gevormde binnenkomende pakketten, bekend als ingrafiltering, is al sinds 2000 “best current practice” en vereist volgens de IETF. Egress filtering (pakketten die uw netwerk verlaten) is ook een goede praktijk. Door deze maatregelen toe te passen, kunnen verschillende soorten DDoS-aanvallen en andere bedreigingen worden voorkomen.
Een gerichte, maar effectieve manier om te voorkomen dat uw netwerk onderdeel wordt van een SNMP DDoS is om uw SNMP-server te beveiligen met een firewall. Dit moet in combinatie met ingrafiltering en egress filtering worden toegepast. Door toegang tot de SNMP-server alleen toe te staan vanaf een klein bereik van door u gecontroleerde IP-adressen, voorkomt u dat uw server wordt misleid om informatie naar derden te verzenden. Veiligheid van SNMP beschermt niet alleen uw netwerk tegen aanvallen, maar voorkomt ook dat uw netwerk wordt ingezet voor aanvallen op andere netwerken.
Neem nu actie om uw ingrafiltering, egress filtering en de beveiliging van uw SNMP-server te verbeteren!