Рекомендуем, 2019

Выбор редакции

Программы BitTorrent можно злоупотреблять, чтобы атаковать отказ в обслуживании

Приложения BitTorrent, используемые сотнями миллионов пользователей по всему миру, могут быть обмануты участием в распределенных атак типа «отказ в обслуживании» (DDoS), усиливающих вредоносный трафик, генерируемый злоумышленниками, до 50 раз.

Отражение DDoS - это метод, который использует спуфинг адресов IP (Интернет-протокол), чтобы обмануть службу для отправки ответов на сторонний компьютер вместо исходного отправителя. Он может использоваться для скрытия источника вредоносного трафика.

Обычно этот метод может использоваться для служб, которые обмениваются данными через протокол пользовательских дейтаграмм (UDP), поскольку в отличие от протокола управления передачей (TCP) UDP не выполняет рукопожатия и поэтому проверка правильности IP-адреса источника. Это означает, что злоумышленник может отправить UDP-пакет с поддельным заголовком, который указывает чужой IP-адрес в качестве источника, заставляя службу отправлять ответ на этот адрес.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

За последние два года злоумышленники злоупотребляли протоколами на основе UDP, такими как DNS (доменная именная система), Network Time Protocol (протокол сетевого времени) и Simple Network Management Protocol (SNMP) для запуска рекордных DDoS-атак с пропускной способностью до 400 Гбит / с.

Четыре исследователя из Университета Города Лондона, Университета прикладных наук Миттельессена в Фридберге, Германия и облачной сетевой фирмы PLUMgrid, проанализировали протоколы, используемые популярными клиентами BitTorrent, и обнаружили, что их также можно злоупотреблять для DDoS-рефлексии и усиление.

В статье, представленной на прошлой неделе на 9-м семинаре USENIX по наступательным технологиям (WOOT '15), исследователи показали, как популярные программы, такие как uTorrent, Vuze или клиент BitTorrent Mainline, могут помогают злоумышленникам усилить DDoS-трафик до 50 раз. BitTorrent Sync (BTSync), который является отдельным протоколом, предназначенным для одноранговой синхронизации файлов, может быть использован для коэффициента усиления до 120.

Еще менее популярными клиентами BitTorrent с меньшими долями на рынке, такими как Transmission или LibTorrent, являются уязвимых, но их коэффициент усиления значительно ниже - 4% и 5% соответственно, - сказали исследователи.

Использование протоколов BitTorrent для усиления DDoS во многих отношениях более эффективно, чем использование DNS или NTP. Это связано с тем, что в Интернете имеется относительно небольшое количество уязвимых DNS или NTP-серверов, но на десятках миллионов компьютеров работают уязвимые программы BitTorrent.

Кроме того, DNS и NTP обычно используют фиксированный номер порта, поэтому легко фильтровать вредоносный трафик по этим протоколам. Но BitTorrent использует динамические диапазоны портов, поэтому для обнаружения и блокирования атаки требуются специализированные брандмауэры, способные выполнять глубокую проверку пакетов, сказали исследователи.

Кроме того, злоумышленники могут использовать расширение протокола BitTorrent под названием Message Stream Encryption (MSE), которое поддерживается большинством клиентов BitTorrent и предназначен для шифрования трафика. По словам исследователей, усиление DDoS с использованием MSE было бы еще сложнее фильтровать.

Существует несколько типов контрмер, которые могут быть реализованы для предотвращения таких атак.

Один из них требует, чтобы интернет-провайдеры применяли рекомендуемые методы безопасности, такие как фильтрацию входящего трафика для предотвращения обмана IP-соединений в целом. Согласно проекту Spoofer, который отслеживает, сколько сетей разрешает IP-спуфинг в Интернете, в настоящее время может быть подделано около 24 процентов общедоступных префиксов IP-адресов в мире.

Еще одна контрмера будет заключаться в реализации TCP-подобных, трех (в настоящее время используется большинством клиентов BitTorrent). Однако это будет значительным изменением, которое потребует длительного времени принятия и создаст несовместимость с более старыми клиентами.

Наконец, программы BitTorrent могут ограничить сообщения, которые они включают в свой первый пакет uTP, одному из них, который уже есть у некоторых клиентов. Это не помешало бы атаке, но уменьшило бы коэффициент усиления примерно до 4 или 5, сказали исследователи.

Top