Исследователи обнаружили, что недавно обнаруженный тип самовоспроизводящейся атаки типа «отказ в обслуживании» (DoS), нацеленной на сообщения прикладного уровня, потенциально может скомпрометировать 300,000 XNUMX интернет-хостов, и ее может быть трудно остановить, как только она начнется, как обнаружили исследователи.

Исследователи Йепенг Пан и профессор Кристиан Россов из Центра информационной безопасности имени Гельмгольца CISPA. обнаружил атаку, получивший название «циклический DoS». Он создает своего рода бесконечный цикл ответов путем объединения двух сетевых служб «таким образом, что они продолжают отвечать на сообщения друг друга неопределенно долго», согласно опубликовать на сайте CISPA описывающее нападение.

Эта динамика создает большие объемы трафика, что приводит к DoS для любой задействованной системы или сети. Более того, как только цикл запущен, даже злоумышленники не могут остановить атаку, которая может быть запущена только с одного хоста, способного к спуфингу, говорят исследователи.

Согласно сообщению Координационного центра CERT Университета Карнеги-Меллона, атака использует новую уязвимость в петле трафика, присутствующую в некоторых приложениях на основе протокола пользовательских датаграмм (UDP). Неаутентифицированный злоумышленник может использовать вредоносные пакеты против уязвимой реализации различных протоколов приложений, таких как DNS, NTP и TFTP, на основе UDP, что приводит к DoS и/или злоупотреблению ресурсами.

В дополнение к этим программам исследователи также обнаружили недостатки в устаревших протоколах, таких как Daytime, Time, Active Users, Echo, Chargen и QOTD — все из которых «широко используются для обеспечения базовых функций в Интернете», согласно CISPA. почта.

Loop DoS — «неприятный» тип кибератаки

Исследователи поставили эту атаку на один уровень с атаками с усилением по объемам трафика, которые они могут вызвать, с двумя основными отличиями. Во-первых, злоумышленникам не нужно постоянно отправлять атакующий трафик из-за поведения петель, если только средства защиты не завершают циклы, чтобы остановить самоповторяющийся характер атаки. Во-вторых, без надлежащей защиты DoS-атака, скорее всего, будет продолжаться какое-то время.

В самом деле, DoS атаки почти всегда связаны с потреблением ресурсов в веб-архитектуре, но до сих пор было чрезвычайно сложно использовать этот тип атаки для полного отключения веб-ресурса, потому что «вам нужны системы, достаточно умные, чтобы собрать армию хостов, которые будут обращаться к веб-архитектуру жертвы одновременно», — объясняет Джейсон Кент, хакер из Cequence Security.

Цикл DoS Атака значительно меняет игру, поскольку вызов может исходить изнутри самой архитектуры, а затем расти в геометрической прогрессии, объяснил он.

«Я могу указать Серверу А адрес Сервера Б организации и вести себя так, будто я Сервер Б», — говорит Кент. «Сервер A отправит серверу B ошибку, а сервер B, в свою очередь, отправит ошибку серверу A, до бесконечности или до тех пор, пока один из них не умрет».

Это избавляет злоумышленника от необходимости планировать или разрабатывать стратегию получения миллионов хостов и потенциально может «вызвать каскадные системные сбои, которые распространяются по средам и вызываются извне», — говорит он, считая циклическую DoS-атаку «неприятной».

Четыре сценария DoS-атак

Исследователи предоставили четыре типа сценариев атак, чтобы продемонстрировать, как может работать циклическая DoS-атака. В простейшем сценарии злоумышленник может перегрузить сам уязвимый сервер, создав множество петель с другими «петлями» серверов, чтобы сосредоточиться на одном целевом сервере. По их словам, это приведет либо к исчерпанию пропускной способности хоста, либо к исчерпанию вычислительных ресурсов. Защитник может остановить эту атаку исправив сервер циклов, чтобы избежать шаблонов циклов.

Во втором сценарии злоумышленники могут атаковать магистральные сети, содержащие множество узлов петель, объединяя эти хосты друг с другом для создания тысяч и миллионов петель в целевой сети. По словам исследователей, для защиты от таких атак со стороны внешних хостов сети могут использовать IP-подмененный трафик.

Третья атака заключается в том, что злоумышленники объединяют серверы в пары таким образом, что перегружают отдельные интернет-каналы. «В простейшем случае это может быть восходящий канал целевой сети», — пишут исследователи, добавляя, что это можно выполнить на любом интернет-канале, который пересекает пары петель.

«С этой целью злоумышленники объединяют хосты внутренней петли с внешними, что создает нагрузку на восходящий канал Интернета целевой сети из-за трафика петли», — объяснили исследователи.

Четвертый и редкий сценарий атаки также является наиболее «разрушительным типом», в котором серверы петель будут отправлять обратно не один ответ, а несколько, что позволяет создавать «самоусиливающиеся петли, которые не только продолжаются вечно, но и усиливаются». в их частоте контура», — пишут исследователи. Эта атака будет продолжаться постоянно, даже если средства защиты потеряют пакеты, если только они не сбросят весь сетевой трафик, добавили они.

Смягчение и защита от циклических DoS-атак

В дополнение к конкретным мерам по смягчению последствий, уже описанным для различных сценариев DoS-атак, существуют и другие способы смягчить или остановить такую ​​​​атаку, когда она уже началась, что является хорошей новостью для множества уязвимые хост-серверы, поскольку исправлять их «все сразу кажется непрактичным», признали исследователи.

По словам Кента, блокировка UDP и переход на связь на основе TCP с аутентификацией и мониторингом могут снизить уязвимость к циклической DoS-атаке. Однако, если это невозможно, системные администраторы «могут захотеть ограничить взаимодействие между хостами во внутренних брандмауэрах и сетевых устройствах», добавляет он.

Другие меры по смягчению последствий, предложенные исследователями, включают: обновление или отключение служб, уязвимых для DoS-атаки по принципу цикла; ограничение доступа к услугам для клиентов с эфемерными или клиентскими портами-источниками; и выявление уязвимого программного обеспечения или продукта в сети и информирование поставщика продукта о возможности использования эксплойта.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cloud-security/300k-internet-hosts-at-risk-for-devastating-loop-dos-attack