Det är Cloudflare, ett företag som specialiserat sig på att erbjuda företag skydd mot ddos, som rapporterar att en icke namngiven kund drabbades av en attack som översteg 400 Gbps, vilket gör att den tidigare rekordnoteringen på lite drygt 300 Gbps vida övertrumfades. Vid den attacken använde sig angriparna av dns-servrar för att förstärka kraften, genom en så kallad dns reflection.

Nu pekar Cloudflare på att den senaste attacken istället använde ett ännu kraftfullare angreppssätt - ntp reflection attack. Ntp står för Network time protocol, och attacken utnyttjar och underminerar flera funktioner och mekanismer som är fundamentala för hur internet fungerar. Ntp-servrar är allmänt tillgängliga maskiner som används för att synkronisera datorklockor.

Cloudflares vd Matthew Prince skriver på Twitter:
"Någon har en ny stor kanon, och den här attacken är nog bara början på otäcka saker som är på intågande."

Det är ännu oklart hur många webbplatser och användare som påverkades av attacken, men åtminstone ett fransk nätverksleverantör rapporterade in en 350 Gbps ddos-attack under veckan.

Kraftfullast någonsin

Attackens styrka överträffade med andra ord attackerna mot Spamhaus förra året, och de attackerna var ändå tre gånger så kraftfulla som de ddos-attacker som tidigare slagit hårt mot blannd annat amerikanska banker.

USA-Cert utfärdade i januari till organisationer och företag att hackare exploaterade ntp-sårbarheter för att översvämma nätverk med udp-trafik.

Angriparna utnyttjar något som kallas monlist i ntp-servrarna, även känt som MON_GETLIST, som returnerar ip-adresser för de senaste 600 maskiner som interagerat med en ntp-server. Monlists är en klassisk "set and forget"-funktion och är sårbara för hackare gör falska REQ_MON_GETLIST-förfrågningar som möjliggör massiv förstärkning av trafiken som genereras i attacken. Det är en mycket effektiv typ av attack som snabbt överbelastar en webbplats eller tjänst.

"Eftersom svaren är legitima uppgifter som kommer från giltiga servrar, är det mycket svårt att blockera dessa typer av attacker", skrev USA-Cert i sin varning, där man också rekommenderade hosting-företag och nätverksleverantörer att antingen avaktivera monlist-funktionen, eller att uppgradera sina ntp-servrar till version 4.2.7, som inaktiverar funktionen.

Säkerhetsföretaget Arbor Networks senaste Wide Infrastructure Security Report visar att dessa extremt kraftfulla attacker ökar, men att de fortfarande kan betecknas som extremfall.

Läs mer:
Cloudflares utredning
Digital attack map - Realtidsinfo om attacker (Arbor Networks)