Zmíněný útok na protokol GRE použili útočníci v momentě, kdy byl předchozí standardní DDoS útok na stejný cíl neúspěšný. GRE bylo jediným detekovaným vektorem. Z přibližně 1700 unikátních zdrojových IP adres přicházel provoz na jedinou cílovou IP adresu, což je samo o sobě zajímavé, protože se GRE obvykle používá na point-to-point spojení. Šestiminutový útok vyvolal poměrně masivní tok dat – obsahoval 411,06 miliónů packetů při maximální kadenci 3,2 Mpps.

Co se týče zdrojů útoku, tak pro jejich analýzu jsme použili zdrojové IP adresy, které se na útoku podílely a bylo u nich vyloučeno jejich podvržení. Z následné identifikace pomocí GeoIP2 databáze vyplývá, že nejčastějším zdrojem byla Evropa následovaná Asií, z pohledu intenzity byla naopak Asie na prvním místě a Evropa na druhém. Detailní pohled ukazuje rozdělení dle zemí.

Přestože není možné jednoznačně určit, co bylo cílem útoku – zda to bylo vyčerpání kapacity internetového připojení nebo něco jiného – podařilo se v tomto případě zabránit negativním dopadům, které útok mohl mít. Zareagovala automatická ochrana FlowGuard a provoz byl mitigován na přibližně 13 % původní intenzity. Celkem se tak ušetřil přenos 333,51 GB dat.

I tento útok dokládá, že rozmanitost a přesun od tupých útoků směrem ke kvalitě je výrazně rostoucím trendem. Útočníci stále častěji využívají hostingové služby v evropských datových centrech, s útoky zaměřenými přímo na aplikační vrstvě jsou tak přímo u zdroje. V kombinaci se zranitelností méně obvyklých internetových protokolů to ukazuje na nutnost zabezpečení nových míst v rámci firemní IT infrastruktury.

Petr Kadlec Autor článku je Senior Data Engineer ve společnosti ComSource.