Un val uriaș de trafic a lovit recent un furnizor european de protecție DDoS, iar incidentul provine de la zeci de mii de dispozitive casnice compromise. FastNetMon, compania care a gestionat evenimentul, afirmă că atacul a atins 1, 5 miliarde de pachete pe secundă, o valoare rar întâlnită în rapoarte publice și suficientă pentru a necesita intervenții imediate la nivel de rețea.
Atacurile DDoS au o istorie de câteva decenii: inițial erau încercări simple de a copleși un server cu cereri, iar acum implică rețele întregi de echipamente vulnerabile. În acest caz, sursa principală a fost un val masiv de pachete UDP, generate de mii de dispozitive IoT și de routere MikroTik compromise, răspândite în peste 11.000 de rețele unice din întreaga lume. FastNetMon nu a divulgat identitatea clientului țintă, doar că era un furnizor de scrubbing DDoS, adică un specialist în curățarea traficului malițios prin inspectare de pachete, limitare de rată, CAPTCHA și detectare a anomaliilor, practic un filtru la scară mare pentru menținerea serviciilor online.
Detecția s-a realizat în timp real, iar măsurile luate au inclus aplicarea de liste de control al accesului pe routere de margine cunoscute pentru potențialul lor de amplificare. Acest lucru înseamnă blocarea sau limitarea traficului provenit din sursele identificate, înainte ca pachetele să ajungă să suprasolicite infrastructura. Observația importantă a celor de la FastNetMon este că problema nu este doar volumul: contează numărul foarte mare de surse distribuite și faptul că dispozitive obișnuite, camere, routere de uz casnic, echipamente IoT, pot fi transformate în arme digitale fără ca proprietarii să observe.
Informația apare la doar câteva zile după ce Cloudflare a raportat blocarea unui atac volumetric record, cu un vârf de 11, 5 Tbps și 5, 1 miliarde de pachete pe secundă. Ambele incidente urmăresc același scop tehnic: epuizarea capacității de procesare a țintelor, ceea ce provoacă indisponibilitatea serviciilor. Pavel Odintsov, fondatorul FastNetMon, atrage atenția că tendința acestor atacuri masive devine periculoasă și cere intervenție din partea furnizorilor de internet. Fără filtrare proactivă la nivelul ISP-urilor, hardware-ul de consum compromis poate fi utilizat la scară industrială pentru astfel de atacuri.
Acest episod scoate în evidență câteva teme clare: vulnerabilitatea dispozitivelor MikroTik și IoT, rolul furnizorilor de scrubbing în apărarea traficului și necesitatea implementării unor logici de detecție și blocare la nivelul ISP-urilor. Să fie clar: protecția pasivă a unui server nu mai este suficientă când mii de dispozitive mici pot genera miliarde de pachete pe secundă. Măsurile eficiente presupun colaborare între operatorii de rețea, producători, furnizori de servicii și utilizatori, fiecare având un rol, de la actualizarea firmware-ului până la aplicarea unor politici stricte de filtrare.
FastNetMon a demonstrat că un atac de 1, 5 Gpps poate fi detectat și atenuat atunci când există o infrastructură de scrubbing bine pusă la punct, dar cazul evidențiază și limitările curente: fără adoptarea pe scară largă a filtrării la ISP, astfel de campanii rămân posibile. Incidentul Cloudflare de 11, 5 Tbps ne reamintește că, pe măsură ce apar noi instrumente și capacități de atac, apărarea trebuie să avanseze la rândul ei. Numele implicate, FastNetMon, MikroTik, Cloudflare, și cifrele menționate, 1, 5 Gpps, peste 11.000 de rețele, 11, 5 Tbps și 5, 1 Bpps, sunt repere utile pentru înțelegerea amploarei problemei. Pe plan tehnic, urmează mai multă filtrare la marginea rețelei și o responsabilizare sporită a producătorilor și ISP-urilor. Crezi că furnizorii de internet vor implementa rapid astfel de filtre proactive?
Fii primul care comentează