DrDoS, czyli ataki DDoS przeprowadzane z wykorzystaniem drukarek, kamer internetowych i routerów

Adrianna Maj

, Publikacje

Ataki DDoS, które na dobre zagościły w Internecie, są przeprowadzane nie tylko z wykorzystaniem komputerów. Cyber przestępcy coraz częściej wykorzystują do tego celu różne urządzenia sieciowe, takie jak drukarki, web-kamery czy routery WiFi.

Problem polega na tym, że wszystkie te urządzenia, używane masowo,  korzystają z popularnych protokołów sieciowych. Protokoły te z kolei posiadają błędy pozwalające na skuteczne przejmowanie kontroli nad urządzeniami. Firma Prolexic, która opisuje problem, wskazuje przede wszystkim na trzy takie protokoły:

SNMP, NTP, CHARGEN

Pierwszy z nich jest powszechnie używany do zarządzania urządzeniami, drugi do synchronizacji czasu na urządzeniach, a trzeci do testowania. Najmłodszy z nich ma 25 lat. Jeśli słyszymy określenie, że kiedyś protokoły sieciowe nie były tworzone z myślą o bezpieczeństwie, to wszystkie trzy są doskonałymi przykładami takiego właśnie podejścia.

Na przykład SNMP przekazuje część danych tzw. „otwartym tekstem” co sprawia, że jest bardzo łatwo podsłuchać i podmienić te dane. Dodatkowo protokół w żaden sposób nie kontroluje wiarygodności źródła transmisji, co pozwala na podszywanie się pod inne urządzenia sieciowe. W rezultacie użycie urządzeń korzystających z SNMP do ataków DDoS jest dość proste. Ataki te określane są jako DrDoS, czyli „Distributed Reflection DoS”.

Dodatkowym problemem jest to, że oprócz możliwości takiej manipulacji pakietami (aby odpytywane urządzenia odsyłały swoje odpowiedzi do ofiary ataku), można wielkość tej odpowiedzi zwielokrotnić. W nomenklaturze ataków DDoS taki mechanizm nazywa się „amplification”. Specjaliści z Prolexic odnotowali metody zwiększające „siłę” odpowiedzi o współczynniku blisko 7,5. Może nie jest to wartość porażająca, ale zupełnie wystarczająca do skutecznych ataków.

Jak się bronić, a raczej jak nie uczestniczyć w tych atakach? Przede wszystkim wyłączyć niepotrzebne protokoły tam gdzie nie jest to potrzebne. Pewnie ciężko to zrobić z NTP, ale SNMP i CHARGEN jak najbardziej się do tego ruchu kwalifikują. Tam gdzie protokoły są potrzebne należy postawić na lepszą kontrolę dostępu do urządzeń.

Warto również dodać, że należy zadbać o to aby korzystać z możliwie najnowszych wersji protokołów. Wiele z nowszych wersji popularnych protokołów zawiera już mechanizmy bezpieczeństwa. Tak jest na przykład z SNMP. Wersja 3 tego protokołu zawiera już dość silne zasady bezpieczeństwa, odwołujące się do wszystkich podstawowych cech – poufności, integralności i uwierzytelnienia. Oczywiście pozostają do pokonania kwestie interoperacyjności ze starszymi wersjami, ale i ten problem jest do zwalczenia. W praktyce znane implementacje SNMP dobrze działają ze wszystkimi trzema wersjami protokołów.

Źródło : http://www.prolexic.com/

Share Button