Старые сетевые протоколы, злоупотребляемые при атаках DDoS

Старые сетевые протоколы, все еще используемые почти каждым подключенным к Интернету устройством, подвергаются хакерским атакам для проведения распределенных атак типа «отказ в обслуживании» (DDoS).

Поставщик безопасности Prolexic обнаружил, что злоумышленники все чаще используют протоколы, для которых он подразумевает «распределенные атак на отказ в обслуживании» (DrDos), где устройство обмануто в отправке большого объема трафика в сеть жертвы.

«Атаки отражения протокола DrDos возможны из-за присущих им дизайн оригинальной архитектуры », - пишет« Prolexic »в белом документе. «Когда эти протоколы были разработаны, функциональность была основным фокусом, а не безопасностью».

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Государственные организации, банки и компании нацелены на атаки DDoS для разных причин. Хакеры иногда используют атаки DDoS, чтобы отвлечь внимание от других промахов или хотят нарушить организацию по политическим или философским соображениям.

Один из целевых протоколов, известный как Network Time Protocol (NTP), используется во всех основных операционных системах, сетевой инфраструктуры и встроенных устройств, пишет Prolexic. Он используется для синхронизации часов между компьютерами и серверами.

Хакер может запускаться при атаке против NTP, отправив множество запросов на обновления. Путем подмены происхождения запросов ответы NTP могут быть направлены на хост-жертву.

Похоже, злоумышленники злоупотребляют функцией мониторинга в протоколе NTP mode 7 (monlist).

Другие сетевые устройства, такие как принтеры, маршрутизаторы, IP-видеокамеры и множество других подключенных к Интернету устройств, используют протокол уровня приложения, называемый Simple Network Management Protocol (SNMP).

SNMP передает данные о компонентах устройства, как описано в Prolexic, таких как измерения или показания датчиков. SNMP-устройства возвращают в три раза больше данных, чем когда они пингируют, что делает их эффективным способом атаки. Опять же, злоумышленник отправит поддельный IP-запрос на хост SNMP, направляя ответ жертве.

Prolexic написал, что существует множество способов смягчения атаки. Лучший совет - отключить SNMP, если он не нужен.

Команда Microsoft по готовности к чрезвычайным ситуациям в США предупредила администраторов в 1996 году о возможном сценарии атаки с использованием другого протокола, протокола генератора символов или CHARGEN.

Он используется как инструмент отладки, поскольку он отправляет данные обратно независимо от ввода. Но Prolexic писал, что он «может позволить злоумышленникам создавать вредоносные сетевые полезные данные и отражать их, спутывая источник передачи, чтобы эффективно направлять его на цель. Это может привести к обходам трафика и ухудшению обслуживания с большим количеством сетевого трафика ».

CERT рекомендовал в то время отключить любую услугу UDP (User Datagram Protocol), такую ​​как CHARGEN, если она не нужна.