Τα πρωτόκολλα γήρανσης που έχουν καταστρατηγηθεί σε επιθέσεις DDoS

Τα παλαιότερα πρωτόκολλα δικτύωσης που χρησιμοποιούνται ακόμα από σχεδόν όλες τις συσκευές που συνδέονται με το Διαδίκτυο καταχράται από τους χάκερ για να εκτελούν επιθέσεις διανομής υπηρεσίας (DDoS).

Ο πωλητής ασφαλείας Prolexic διαπίστωσε ότι οι εισβολείς χρησιμοποιούν όλο και περισσότερο πρωτόκολλα για ό, τι λέει "κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης" (DrDos), όπου μια συσκευή είναι εξαπατημένη για την αποστολή μεγάλου όγκου κίνησης στο δίκτυο του θύματος.

"Οι επιθέσεις απεικόνισης πρωτοκόλλου DrDos είναι δυνατές λόγω των εγγενών σχεδιασμός της αρχικής αρχιτεκτονικής ", έγραψε ο Prolexic σε μια λευκή βίβλο. "Όταν αναπτύχθηκαν αυτά τα πρωτόκολλα, η λειτουργικότητα ήταν το επίκεντρο, όχι η ασφάλεια."

Κυβερνητικές οργανώσεις, τράπεζες και εταιρείες στοχεύουν επιθέσεις DDoS για μια ποικιλία λόγοι. Οι χάκερ χρησιμοποιούν μερικές φορές επιθέσεις DDoS για να προσελκύσουν την προσοχή από άλλες κακοποιήσεις ή να θέλουν να διαταράξουν μια οργάνωση για πολιτικούς ή φιλοσοφικούς λόγους.

Ένα από τα στοχευμένα πρωτόκολλα, γνωστό ως Network Time Protocol (NTP), χρησιμοποιείται σε όλα τα μεγάλα λειτουργικά συστήματα, την υποδομή δικτύου και τις ενσωματωμένες συσκευές, έγραψε ο Prolexic. Χρησιμοποιείται για τον συγχρονισμό των ρολογιών ανάμεσα σε υπολογιστές και διακομιστές.

Ένας χάκερ μπορεί να ξεκινήσει σε επίθεση ενάντια στο NTP στέλνοντας πολλά αιτήματα για ενημερώσεις. Με την παραποίηση της προέλευσης των αιτημάτων, οι απαντήσεις NTP μπορούν να απευθύνονται σε ένα θύμα υποδοχής.

Φαίνεται ότι οι εισβολείς καταχρώνται μια λειτουργία παρακολούθησης στο πρωτόκολλο που ονομάζεται NTP mode 7 (monlist).

Άλλες συσκευές δικτύου, όπως οι εκτυπωτές, οι δρομολογητές, οι βιντεοκάμερες IP και διάφοροι άλλοι συνδεδεμένοι με το Διαδίκτυο εξοπλισμός, χρησιμοποιούν ένα πρωτόκολλο επιπέδου εφαρμογής που ονομάζεται απλό πρωτόκολλο διαχείρισης δικτύου (SNMP).

Η SNMP επικοινωνεί με δεδομένα σχετικά με τα εξαρτήματα της συσκευής, όπως έγραψε η Prolexic, όπως μετρήσεις ή μετρήσεις αισθητήρων. Οι συσκευές SNMP επιστρέφουν τρείς φορές περισσότερα δεδομένα από ό, τι όταν είναι pinged, καθιστώντας τους έναν αποτελεσματικό τρόπο επίθεσης. Και πάλι, ένας εισβολέας θα στείλει ένα παραπλανητικό αίτημα IP σε έναν κεντρικό υπολογιστή SNMP, κατευθύνοντας την απάντηση σε ένα θύμα.

Ο Prolexic έγραψε ότι υπάρχουν πολλοί τρόποι για να μετριαστεί η επίθεση. Η καλύτερη συμβουλή είναι να απενεργοποιήσετε το SNMP αν δεν είναι απαραίτητο.

Η ομάδα ετοιμότητας έκτακτης ανάγκης των Η.Π.Α. προειδοποίησε τους διαχειριστές το 1996 για πιθανό σενάριο επίθεσης που περιλαμβάνει άλλο πρωτόκολλο, πρωτόκολλο γεννήτριας χαρακτήρων ή CHARGEN

. εργαλείο εντοπισμού σφαλμάτων, καθώς αποστέλλει δεδομένα πίσω ανεξάρτητα από την είσοδο. Αλλά ο Prolexic έγραψε ότι "μπορεί να επιτρέψει στους επιτιθέμενους να δημιουργήσουν κακόβουλα φορτία δικτύου και να τους αντικατοπτρίσουν με την παραποίηση της πηγής μετάδοσης για να την κατευθύνουν αποτελεσματικά σε έναν στόχο. Αυτό μπορεί να έχει ως αποτέλεσμα τη δημιουργία βρόχων κυκλοφορίας και την υποβάθμιση της υπηρεσίας με μεγάλα ποσά κυκλοφορίας δικτύου.

Η CERT συνέστησε τότε να απενεργοποιήσει οποιαδήποτε υπηρεσία UDP (User Datagram Protocol) όπως CHARGEN, αν δεν είναι απαραίτητη.