Атаки были организованы с использованием техники усиления трафика через необновлённые NTP-серверы. Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массированных атак. Проверить свой NTP-сервис на уязвимость можно на сайте проекта OpenNTP.

Дополнение: Опубликована более подробная характеристика атаки. Трафик в 400 Гбит/сек был сгенерирован с использованием всего 4529 уязвимых NTP-серверов, размещённых в 1298 различных сетях. В среднем каждый NTP-сервер генерировал в сторону жертвы поток с пропускной способностью 87 Mбит/сек. Для сравнения, в атаке на Spamhaus было задействовано 30956 открытых DNS-резолверов.

Примечательно, что теоретически, так как NTP позволяет усилить трафик в 206 раз, для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт и размещённым в сети, допускающией спуфинг IP-адреса получателя. Прогнозируется, что следующим шагом атакующих может стать вовлечение SNMP-серверов в качестве усилителей трафика. Теоретически, проблемный SNMP-сервер может обеспечить усиление трафика в 650 раз. В настоящее время уже фиксируются отдельные эксперименты атакующих с использованием SNMP.

Источник: http://www.opennet.ru/opennews/art.shtml?num=39075