завантаження...

Адреса:

місто Львів, 79020, вул. Варшавська, 193

На конференції USENIX група вчених з університету Меріленду і Колорадського університету в Боулдері доповіла про новий спосіб ампліфікації DDoS-атак.

До речі, ця робота удостоїлася нагороди «Distinguished Paper Award».

Що нового?

Дослідники стверджують, що для цих цілей можна використовувати протокол TCP, причому коефіцієнт посилення у таких атак буде набагато більшим, ніж у UDP. Це зробить подібні атаки однією з найнебезпечніших форм DDoS’а.

Також вони зазначають, що кращими векторами для ампліфікації DDoS-атак історично вважаються сервери, що працюють з протоколами на основі UDP (SNMP, DNS, NetBIOS, CoAP і NTP). Чому так? Причина в тому, що протокол UDP використовує простий двоетапний процес «запит-відповідь», яким легко зловживають оператори.

А от TCP-з’єднання починаються з тристороннього хендшейка, що заважає хакерам використовувати техніку IP-спуфинга. Адже зловмисники не можуть довести до кінця процес «рукостискання»: сервери розривають з’єднання ще до посилення і відображення пейлоада.

Однак автори дослідження виявили недолік у дизайні численних проміжних пристроїв, доступних в мережі. Цей термін вживають на позначення комутаторів, концентраторів, модемів, маршрутизаторів, балансувальників навантаження, DPI тощо. Зазвичай такі девайси встановлюють в мережах великих організацій.

Експерти пишуть, що замість відтворення всього процесу тристороннього рукостискання, можна відправити проміжному пристрою комбінацію з нестандартних послідовностей пакетів. Через це пристрій вирішить, що TCP‑хендшейк завершений і продовжить роботу із з’єднанням.

Наприклад, якщо зловмисник намагається отримати доступ до забороненого сайту, проміжний пристрій заблокує сторінку.

Після низки експериментів, що почалися ще в минулому році, дослідницька група встановила, що найкращими векторами для TCP DDoS є сайти, які зазвичай блокуються державними системами цензури або правилами великих компаній. Чому? Бо зловмисникам потрібно відправляти проміжному пристрою (брандмауеру, DPI тощо) послідовність TCP-пакетів, які повідомляють про спроби підключення до сайтів з дитячою порнографією або азартними іграми. Завдяки IP-спуфінгу пристрій відповість «сторінкою блокування», яку направить жертвам атакуючих. Навіть якщо ті не перебувають у внутрішній мережі організації.

Боротьба з DDoS-атаками

Для боротьби з таким вектором DDoS-атак потрібні масштабні зусилля: розгортання оновлених конфігурацій у всіх мережах, де встановлені проблемні проміжні пристрої.

Щоб прискорити цей складний процес, дослідницька група вже почала оприлюднювати на «GitHub» скрипти та інші спеціальні інструменти, які адміністратори можуть використовувати для тестування своїх брандмауерів, DPI і інших пристроїв, щоб визначити, чи вразливі вони до вищеописаних атак.

MacBook Pro увімкнено