Windows

Verouderde netwerkprotocollen misbruikt bij DDoS-aanvallen

Simon blokkeerde duizenden sites met DDoS-aanvallen

Simon blokkeerde duizenden sites met DDoS-aanvallen
Anonim

Verouderde netwerkprotocollen die nog steeds worden gebruikt door bijna elk apparaat dat op internet is aangesloten, worden door hackers misbruikt om gedistribueerde Denial-of-Service-aanvallen (DDoS) uit te voeren.

'DrDos-protocol reflectie-aanvallen zijn mogelijk vanwege de inherente ontwerp van de originele architectuur, "schreef Prolexic in een white paper. "Toen deze protocollen werden ontwikkeld, stond functionaliteit centraal, geen beveiliging."

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Overheidsorganisaties, banken en bedrijven worden door DDoS-aanvallen geviseerd voor een verscheidenheid van redenen. Hackers gebruiken soms DDoS-aanvallen om de aandacht af te leiden van andere kattenkwaadheden of willen een organisatie om politieke of filosofische redenen onderbreken.

Een van de gerichte protocollen, bekend als Network Time Protocol (NTP), wordt gebruikt in alle belangrijke besturingssystemen, netwerkinfrastructuur en ingesloten apparaten, schreef Prolexic. Het wordt gebruikt om klokken tussen computers en servers te synchroniseren.

Een hacker kan starten bij een aanval op NTP door veel verzoeken om updates te verzenden. Door de oorsprong van de verzoeken te misleiden, kunnen de NTP-antwoorden worden gericht aan een slachtofferhost.

Het lijkt erop dat de aanvallers misbruik maken van een bewakingsfunctie in het protocol met de naam NTP-modus 7 (monlijst). De gaming-industrie is het doelwit van deze aanval, zei Prolexic.

Andere netwerkapparaten, zoals printers, routers, IP-videocamera's en een verscheidenheid aan andere op internet aangesloten apparatuur maken gebruik van een toepassingslaag-protocol dat Simple Network Management Protocol heet. (SNMP).

SNMP communiceert gegevens over apparaatcomponenten, schreef Prolexic, zoals metingen of sensormetingen. SNMP-apparaten retourneren drie keer zoveel gegevens als toen ze werden gepingd, waardoor ze een effectieve manier van aanvallen zijn. Nogmaals, een aanvaller stuurt een vervalst IP-verzoek naar een SNMP-host en richt de reactie op een slachtoffer.

Prolexic schreef dat er tal van manieren zijn om een ​​aanval te beperken. Het beste advies is om SNMP uit te schakelen als dit niet nodig is.

Het Amerikaanse Computer Emergency Readiness Team waarschuwde beheerders in 1996 voor een mogelijk aanvalsscenario met een ander protocol, Character Generator Protocol of CHARGEN.

Het wordt gebruikt als een foutopsporingsprogramma omdat het gegevens terugzendt, ongeacht de invoer. Maar Prolexic schreef dat "aanvallers mogelijk kwaadwillende netwerkpayloads kunnen maken en deze kunnen weerspiegelen door de transmissiebron te vervalsen om deze effectief naar een doelwit te leiden. Dit kan resulteren in verkeerslussen en verslechtering van de service met grote hoeveelheden netwerkverkeer. "

CERT adviseerde op dat moment om een ​​UDP-service (User Datagram Protocol) zoals CHARGEN uit te schakelen als dit niet nodig is.