MS SQL DDoS-атака с отражением
Метод атаки основан на вмешательстве в работу протокола разрешения Microsoft SQL с целью запуска атаки с отражением, приводящей к отказу в обслуживании. Атака происходит, когда Microsoft SQL Server отвечает на запрос, пытаясь использовать протокол разрешения Microsoft SQL Server (MC-SQLR), прослушивая UDP-порт 1434. Протокол разрешения SQL используется каждый раз, когда клиенту требуется получить информацию от сервера MS SQL. При подключении к серверу базы данных, клиент получает ответ в виде списка экземпляров базы данных. При этом используется протокол MC-SQLR, который помогает определить, с какими экземплярами базы данных пытаются установить связь. Злоумышленники могут использовать серверы SQL, выполняя скриптовые запросы с использованием поддельного IP-адреса, чтобы создать впечатление, что он исходит от предполагаемой жертвы. Количество существующих экземпляров базы данных, присутствующих на уязвимом сервере SQL, определяет силу или коэффициент амплификации DDoS-атаки.
Мы рекомендуем следующие меры по предотвращению атаки и работе с уязвимыми приложениями:
Использование входных и выходных фильтров, применяемых к портам SQL Server на брандмауэрах, маршрутизаторах или пограничных устройствах, может предотвратить эту атаку. Если существует экономическое обоснование для сохранения UDP 1434 открытым, входящий трафик следует отфильтровать, чтобы разрешать доступ только проверенным IP-адресам.
Блокируйте входящие соединения из интернета, если порты не нужны для внешнего доступа или администрирования.
Служба протокола разрешения SQL не требуется на серверах, имеющих только один экземпляр базы данных. Он был отключен по умолчанию начиная с Microsoft SQL Server 2008, однако он включен в более ранних версиях и версиях ядра рабочего стола. Рассмотрите возможность отключения службы протокола разрешения SQL, чтобы предотвратить его нецелевое использование.
Если необходимо использовать службу протокола разрешения SQL, добавьте дополнительный уровень безопасности для доступа к службе, например, проверку подлинности с помощью безопасных методов (SSH, VPN) или фильтрацию трафика.
Комментарии
Отправить комментарий