Come evidenziato da Ivan Straniero, Country Manager, Italy & SE Europe di Arbor Networks, nel corso dell’ultimo anno un nuovo metodo di attacco DDoS sta emergendo in maniera preoccupante su internet: gli attacchi a riflessione NTP. Questa tipologia di attacco DDoS sfrutta il protocollo NTP (Network Time Protocol) per amplificare il volume di traffico generato dall’attaccante attraverso falle nei server presenti in internet.
In un attacco a riflessione NTP il cybercriminale genera traffico verso uno o più server NTP con un indirizzo di origine fittizio (l’indirizzo IP verso il quale vuole sferrare l’attacco). Il server NTP risponde perciò verso l’indirizzo della vittima con volumi di traffico fino a mille volte superiore rispetto a quello originato dall’attaccante.
Questo tipo di attacco pone grossi problemi innanzitutto per il grande numero di server NTP disponibili su internet e per l’elevato rapporto di amplificazione del traffico, in secondo luogo per la mancanza di filtri anti spoofing all’interno di molte reti. Inoltre l’aumentare di tool specifici per mettere in atto questi attacchi e per rilevare i server NTP non protetti ha reso molto semplice mettere in atto questi comportamenti e saturare in breve tempo la connettività di aziende e data center minori.
Pur essendo una tipologia di attacco già conosciuta, è solo dalla fine del 2013 che gli attacchi DDoS si sono rapidamente sviluppati, entrando nel radar di molte aziende e raggiungendo nel primo trimestre di quest’anno attacchi di volume mai registrati prima d’ora. Secondo i dati di Arbor ATLAS nel 2013 il numero di attacchi con banda oltre i 20 Gb/s è stato di otto volte superiore a quello del 2012. Solo nel primo trimestre del 2014 gli attacchi di questa portata sono già arrivati a 1,5 volte il numero registrato nel 2013. Inoltre sempre nel primo trimestre si sono sviluppati 72 attacchi oltre i 100 Gb/s, il maggiore dei quali è stato un attacco di 325 Gb/s, il più grande attacco mai registrato su internet.
Per proteggersi e prevenire questa tipologia di attacco è necessario un intervento sia da parte delle aziende, sia degli ISP, ponendo in atto una serie di interventi che limitino le possibilità offerte agli attaccanti:
- Prevenendo abusi: i service provider devono assicurarsi di disporre di filtri anti-spoofing al punto di contatto tra le loro reti e quelle dei loro clienti.
- Bonificando i servizi NTP: le aziende dovrebbero effettuare proattivamente scansioni e bonifiche dei servizi NTP vulnerabili in modo da ridurre le capacità a disposizione degli attaccanti.
- Rilevando gli attacchi: le aziende devono sfruttare la telemetria di flusso per rilevare, classificare, ritracciare e segnalare proattivamente gli attacchi DDoS. Idealmente, dovrebbero essere usate configurazioni specifiche per facilitare l’individuazione e la mitigazione precoce degli attacchi a riflessione NTP.
- Attivando misure di mitigazione: mediante la preconfigurazione di tecniche di mitigazione basate su rete (p. es. Flowspec, blackhole, meccanismi di QoS ecc.) in modo che siano già pronte quando occorre. Necessario anche il deployment di servizi e soluzioni di mitigazione intelligenti.
- Mitigando gli attacchi: occorre accertarsi che i team addetti alle operazioni conoscano bene i tool e i processi necessari ad affrontare efficientemente l’attuale generazione di attacchi NTP.