Поделиться
Придумана DDoS-атака, легко выводящая из строя любую пару серверов
Исследователи описали новый тип DDoS-атаки, которую невозможно остановить после запуска. Она оказывается возможной в силу архитектурных особенностей общераспространённого сетевого протокола.
UDP и производные
Эксперты Центра информационной безопасности им. Хельмгольца (CISPA - Helmholtz Center for Information Security) опубликовали исследование, в котором описывается новый тип DDoS-атаки. Авторы указывают, что риску подвергаются сотни тысяч устройств.
Атака нацелена на протоколы уровня приложений, функционирующие на основе общераспространённого сетевого протокола UDP (User Datagram Protocol). Потенциальный злоумышленник может заставить пары UDP-серверов устанавливать соединения друг с другом до бесконечности, пока не исчерпают все ресурсы.
UDP по своей архитектуре не осуществляет проверки IP-адресов происхождения исходящих пакетов, что открывает возможности для спуфинга (подмены адреса).
В результате злоумышленник может подделать несколько UDP-пакетов так, чтобы они включали IP-адрес жертвы, и целевой сервер ответит именно ей, тем самым формируя отражённую DDoS-атаку.
Исследователи установили, что определённые реализации протокола UDP, в частности, DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD и Time, можно использовать для запуска самоиндуцируемой атаки.
«Две сетевые службы оказываются спаренными таким образом, что до бесконечности отвечают на взаимные запросы. В результате создаётся огромный объём трафика, вследствие чего происходит отказ в обслуживании всех вовлечённых систем или сетей. Как только происходит запуск атаки и формируется цикл, уже даже сами злоумышленники не смогут эту атаку остановить», - говорят исследователи.
По сути атакованные серверы будут пересылать друг другу сообщения об ошибках до тех пор, пока все каналы соединения не забьются. Использование относящихся к ним систем в результате станет невозможным.
«В данной ситуации хуже всего то, что речь идёт об эксплуатации не какой-либо ошибки, а архитектурной особенности протокола и его деривативов», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, вероятность переработки самого протокола UDP стремится к нулю, так что остаётся уповать только на сторонние меры защиты.
300 тысяч хостов
По оценкам CISPA, около 300 тысяч хостов и их сетей на данный момент уязвимы перед такой циклической DDoS-атакой (она получила название Loop DDoS).
Хотя пока нет информации о практических попытках устроить такую атаку, исследователи предупреждают, что эксплуатация проблемы является совершенно тривиальной и что большое количество сетевого оборудования от разных производителей - в частности, Broadcom, Cisco, Honeywell, Microsoft, MikroTik и Zyxel - относится к числу уязвимых.
По мнению исследователей, единственный способ противостоять таким атакам, это поддерживать разработки по фильтрации подменяемого трафика, такие как BCP38.
Короткая ссылка
