Um ataque DDoS (ou ataque de negação de serviço) de grandes proporções atingiu servidores europeus e norte-americanos da empresa CloudFlare, responsável por uma rede de distribuição de conteúdo. De acordo com o CEO da companhia Matthew Prince, o volume total de tráfego chegou a incríveis 400 gigabits por segundo, tornando este o maior golpe do tipo já visto na web.

O ataque teve como alvo inicial um dos clientes do serviço, não nomeado, e usou reflexão do Network Time Protocol (NTP) para aumentar sua amplitude. O protocolo é usado para sincronizar horários entre diferentes computadores pela rede, e o método do ataque faz pedidos falsos de sincronização aos servidores NTP, sempre usando o “nome” da vítima. Dessa forma, um fluxo enorme de respostas inunda o site-alvo – mais ou menos como demonstrado neste diagrama simples, do The Hacker News.

A adoção da técnica é relativamente recente, mas ela de certa forma lembra os ataques baseados em DNS. O método foi utilizado no último “maior ataque DDoS” registrado, que atingiu servidores da Spamhaus, e consiste em forjar solicitações de buscas por endereços DNS usando a “identidade” do alvo e uma botnet. Os pedidos são enviados a servidores abertos, e todo tráfego gerado pelas respostas é redirecionado à página atacada. A sequência é mais ou menos a que está mostrada nesta ilustração divulgada pelo SecurityAffairs.

De acordo com o site ArsTechnica, o volume de tráfego gerado pelo ataque baseado em NTP é proporcionalmente menor do que o em DNS. Mas ao mesmo tempo, há cerca de 3.000 servidores públicos que respondem a solicitações NTP, bem menos protegidos, o que permite aos atacantes fazerem mais e mais pedidos de sincronização. E a tudo isso, ainda se soma isso a existência de uma vulnerabilidade que facilita a amplificação dos pedidos.

No entanto, evitar os ataques do tipo não é tão complicado assim, como afirma a própria CloudFlare. Atualizar os servidores NTP públicos para a versão 4.2.7, que substitui o comando problemático, é uma das soluções para os administrados, e ainda há outras listadas em um post no blog da empresa.