DTLS, как и другие протоколы на основе UDP, подвержен проблеме спуфинга, а значит, его можно использовать в качестве вектора усиления DDoS. То есть хакер может отправлять небольшие DTLS-пакеты на устройство с поддержкой DTLS, и ответ вернется на адрес жертвы в виде куда большего пакета.
По данным экспертов, ранее этот вектор усиления атак применяли лишь продвинутые злоумышленники, но теперь использование DTLS стало доступнее и его предлагают даже разнообразные сервисы для DDoS-атак по найму.
Эксперты подсчитали, что DTLS позволяет усилить атаку в 37 раз. Мощность наиболее крупных атак, замеченных Netscout, составляла примерно 45 Гбит/сек. Более того, злоумышленники объединяли DTLS с другими векторами амплификации, в итоге получая примерно 207 Гбит/сек.
Netscout сообщает, что сейчас в сети можно найти боле 4300 серверов, уязвимых перед этой проблемой. Чаще всего дело в неправильной конфигурации и устаревшем ПО, что приводит к отключению механизмов защиты от спуфинга. В частности, ранее уже было замечено, что уязвимыми зачастую оказываются устройства Citrix Netscaller Application Delivery Controller, хотя разработчики Citrix уже призывали клиентов перейти на более новую версию ПО, где анти-спуфинг включен по умолчанию.«Атаки состоят из двух или более отдельных векторов, организованных таким образом, чтобы поразить цель всеми этими векторами одновременно. Такие многовекторные атаки являются онлайн-эквивалентом общевойсковой атаки, и главная их идея заключается в том, чтобы сокрушить обороняющихся, как с точки зрения мощности атаки, так и максимально затруднив ее смягчение», — рассказывают эксперты.