Protocoalele de îmbătrânire a rețelelor abuzate în atacurile DDoS

Protocoalele de îmbătrânire a rețelelor utilizate încă de aproape toate dispozitivele conectate la Internet sunt abuzate de hackeri pentru a efectua atacuri distribuite de Denial-of-Service (DDoS).

Procurectorul de securitate Prolexic a constatat că atacatorii folosesc din ce în ce mai mult protocoale pentru ceea ce se numește "atacuri de refuzare a refuzului de serviciu distribuite" (DrDos), unde un dispozitiv este înșelat să trimită un volum mare de trafic către o rețea a victimei.

"Atacurile de reflecție a protocolului DrDos sunt posibile datorită inerenței design al arhitecturii originale ", a scris Prolexic într-o lucrare albă. "Când aceste protocoale au fost dezvoltate, funcționalitatea era principalul obiectiv, nu securitatea."

Organizațiile guvernamentale, băncile și companiile sunt vizate de atacurile DDoS pentru o varietate din motive. Hackerii folosesc uneori atacuri DDoS pentru a atrage atenția asupra altor probleme sau pentru a distruge o organizație din motive politice sau filosofice.

Unul dintre protocoalele vizate, cunoscut sub numele de Network Time Protocol (NTP), este utilizat în toate sistemele de operare importante, infrastructura de rețea și dispozitivele integrate, a scris Prolexic. Se utilizează pentru a sincroniza ceasurile între computere și servere.

Un hacker poate lansa la atac împotriva NTP prin trimiterea mai multor solicitări de actualizări. Prin spionarea originii cererilor, răspunsurile NTP pot fi direcționate spre o victimă a unei victime.

Se pare că atacatorii abuzează de o funcție de monitorizare în protocolul numit NTP mode 7 (monlist). Industria jocurilor a fost vizată de acest stil de atac, a spus Prolexic.

Alte dispozitive de rețea, cum ar fi imprimante, routere, camere video IP și o varietate de alte echipamente conectate la Internet, utilizează un protocol de nivel de aplicație numit Simple Network Management Protocol (SNMP)

SNMP comunică date despre componentele dispozitivului, a scris Prolexic, cum ar fi măsurătorile sau citirile senzorilor. Dispozitivele SNMP returnează de trei ori mai multe date decât atunci când sunt pingate, făcându-le o modalitate eficientă de a ataca. Din nou, un atacator va trimite o cerere IP falsă către o gazdă SNMP, direcționând răspunsul la o victimă.

Prolexic a scris că există numeroase modalități de a atenua un atac. Cel mai bun sfat este să dezactivați SNMP dacă nu este necesar.

Echipa US Computer Emergency Readiness Team a avertizat administratorii în 1996 despre un scenariu de atac potențial care implică un alt protocol, Protocolul generatorului de caractere sau CHARGEN. instrument de depanare deoarece trimite date înapoi indiferent de intrare. Dar Prolexic a scris că "ar putea permite atacatorilor să implice încărcături utile în rețea și să le reflecte prin falsificarea sursei de transmisie pentru al direcționa efectiv către o țintă. "

CERT a recomandat la acel moment să dezactiveze orice serviciu UDP (User Datagram Protocol), cum ar fi CHARGEN dacă nu este necesar.