Aldringsnettverksprotokoller misbrukt i DDoS-angrep

Aldringsnettverksprotokoller som fortsatt er ansatt hos nesten alle Internett-tilkoblede enheter, blir misbrukt av hackere til å gjennomføre distribuerte avslag på tjenesten (DDoS).

Sikkerhetsleverandør Prolexic fant at angripere i stadig større grad bruker protokoller for hva det betyr "distribuert refleksjon avslag på tjenesten" (DrDos), hvor en enhet blir lurt til å sende et høyt volum av trafikk til et offerets nettverk.

"DrDos-protokollrefleksjonsangrep er mulig på grunn av det iboende design av den opprinnelige arkitekturen, skrev Prolexic i et hvitt papir. "Når disse protokollene ble utviklet, var funksjonalitet hovedfokus, ikke sikkerhet."

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Regjeringsorganisasjoner, banker og bedrifter er målrettet mot DDoS-angrep for en rekke av grunner. Hackere bruker noen ganger DDoS-angrep for å trekke oppmerksomhet vekk fra andre ulykker eller vil forstyrre en organisasjon av politiske eller filosofiske grunner.

En av de målrettede protokollene, kjent som Network Time Protocol (NTP), brukes i alle større operativsystemer, nettverksinfrastruktur og innebygde enheter, skrev Prolexic. Det brukes til å synkronisere klokker mellom datamaskiner og servere.

En hacker kan starte ved angrep mot NTP ved å sende mange forespørsler om oppdateringer. Ved å forfalske opprinnelsen til forespørslene, kan NTP-svarene rettes mot et offer for verten.

Det ser ut til at angriperne misbruker en overvåkingsfunksjon i protokollen NTP-modus 7 (monlist). Spillindustrien har blitt målrettet mot denne typen angrep, sa Prolexic.

Andre nettverksenheter, for eksempel skrivere, rutere, IP-videokameraer og en rekke andre Internett-tilkoblede utstyr, bruker en programlagringsprotokoll kalt Simple Network Management Protocol (SNMP).

SNMP kommuniserer data om enhetskomponenter, Prolexic skrev, for eksempel målinger eller sensoravlesninger. SNMP-enheter returnerer tre ganger så mye data som når de pinges, noe som gjør dem til en effektiv måte å angripe. Igjen vil en angriper sende en forfalsket IP-forespørsel til en SNMP-vert, og rette svaret til et offer.

Prolexic skrev at det finnes mange måter å redusere et angrep på. Det beste rådet er å deaktivere SNMP hvis det ikke er nødvendig.

US Computer Emergency Readiness Team advarte administratorer i 1996 om et potensielt angrepsscenario som involverer en annen protokoll, Character Generator Protocol eller CHARGEN.

Den brukes som en feilsøkingsverktøy siden det sender data tilbake uavhengig av inngangen. Men Prolexic skrev at det "kan tillate angripere å lage skadelige nettverksbelastninger og reflektere dem ved å spoofing overføringskilden for å effektivt lede den til et mål. Dette kan føre til trafikksløyfer og serviceforringelse med store mengder nettverkstrafikk. "

CERT anbefalt på det tidspunktet for å deaktivere enhver UDP-tjeneste (User Datagram Protocol), for eksempel CHARGEN hvis det ikke er nødvendig.