OBAVJEŠTENJE ODJELJENJA ZA INFORMACIONU BEZBJEDNOST – CERT REPUBLIKE SRPSKE povodom DDoS napada na teritoriji RS

OBAVJEŠTENJE ODJELJENJA ZA INFORMACIONU BEZBJEDNOST – CERT REPUBLIKE SRPSKE povodom DDoS napada na teritoriji RS

Odjeljenje za informacionu bezbjednost – CERT Republike Srpske obavještava sve javne ustanove, organe uprave, fizička i pravna lica u Republici Srpskoj da je prošle i ove sedmice uočeno više DDoS (Distributed Denial of Service) napada na veb stranice institucija, portala i pravnih lica na teritoriji Republike Srpske.

DDoS napadi za cilj imaju pokušaj da se onemogući pristup korisnicima određenom računarskom resursu. U ovom slučaju DDoS napadi su kratkoročno onemogućili pristup veb stranicama.

Preliminarna analiza na nepotpunom skupu podataka pokazuje da je riječ o pojačanim reflektovanim DDoS napadima (Distributed Reflective Denial of Service – DRDoS) korišćenjem NTP (Network Time Protocol).

Za razliku od standardnih DDoS kod kojih se mrežni saobraćaj namijenjen žrtvi generiše na preuzetim računarima, tzv. botovima, DRDoS napad koristi javno dostupne servere za izvršenje. Napadač generiše UDP saobraćaj kod koga kao izvorišnu adresu unosi falsifikovanu IP adresu žrtve. Saobraćaj se šalje na javno dostupne servere koji pokušavaju odgovoriti žrtvi. Treba napomenuti da ovo ne znači da nisu korišćeni preuzeti računari, ovo znači da je korišćenje preuzetih računara moguće, ali nije neophodno.

Ukoliko se koriste protokoli koji imaju neproporcionalno velike odgovore u poređenju sa poslatim zahtjevima riječ je o pojačanim napadima. Mjera koja se koristi za utvrđivanje stepena pojačanja naziva se Bandwith Amplification Factor (BAF), i predstavlja broj bajta odgovora koje korisnik dobija za svaki bajt zahtjeva.

Sve posmatrane IP adrese sa kojih su dolazili DDoS napadi imaju otvoren UDP port 123 na kome se nalaze zastarjele verzije NTP servera (NTPd). Sve IP adrese imaju NTP server sa verzijom starijom od 4.2.7 koje posjeduju ranjivost označenu sa CVE-2013-5211. Verzije prije 4.2.7 omogućavaju korišćenje MONLIST komande koja vraća IP adrese posljednjih 600 klijenata koji su koristili server. Ova varijanta omogućava pojačanje napada za BAF do 550 puta.

Uočeno je da 37% posmatranih IP adresa pored UDP 123 porta imaju otvorene portove 111 za UDP i TCP. Port 111 koristi Portmap (RPCBind) protokol koji se takođe može koristiti za pojačane DRDoS napade sa BAF faktorom od 7 do 28.

Preporučujemo vam da ukoliko ne koristite sljedeće servise iste blokirate, a ukoliko ih koristite da ograničite dolazni saobraćaj sa sljedećih portova:

  • UDP port 123  – NTP (Network Time Protocol), BAF do 550 puta. Ne preporučuje se potpuno blokiranje NTP saobraćaja, jer može dovesti do neispravnog funkcionisanja mrežnih uređaja.
  • TCP i UDP portovi 111 – Portmap, BAF od 7 do 28 puta.
  • TCP i UDP portovi 11211 – Memcached, BAF od 10 000 do 50 000 puta.
  • TCP i UDP portovi 19 – Chargen, BAF do 358.8 puta.

Pored toga preporučujemo vam da zabranite dolazni i odlazni saobraćaj sa sljedećih portova:

  • TCP i UDP portovi 7, 9, 13 – Nekorišćeni protokoli kao što su Echo, Discard, Daytime respektivno.

Leave a Reply