Нов метод за маскиране на DDoS атаки ги прави в пъти по-опостушителни
Поради занемарени настройки или неправилна конфигурация, услуги като DNS, NTP, SSDP и Memchache могат да станат любимия инструмент на атакуващите.
Последен ъпдейт на 28 юни 2018 в 11:49 ч.
Похватите за амплификация и отразяване (amplification and reflection) са едни от най-често използваните при изпълнение на DDoS атаки. Благодарение на настройките си по подразбиране и/или „лоши“ конфигурации, протоколите и услугите като DNS, NTP, SSDP и Memcache се превръщат в опустошителни вектори за атака. В сравнение с традиционните методи за изпълнение на DDoS атаки, а именно създаване на многобройна botnet мрежа от IoT и мобилни устройства, каквито са Mirai, Hajime и WireX, вече споменатите услуги предоставят възможност за достигане на далеч по-обемни (~2Tbps) атаки с много по-малък брой уязвими сървъри. Как? Използваният транспортен протокол (UDP) е идеален за целта, като фактора на амплификация достига до 50 000, в зависимост от приложението:
Protocol | Bandwidth Amplification Factor |
---|---|
Memcache | 50000 |
NTP | 556.9 |
CharGen | 358.8 |
DNS | up to 179 [48] |
QOTD | 140.3 |
Quake Network Protocol | 63.9 |
BitTorrent | 4.0 – 54.3 [49] |
SSDP | 30.8 |
Kad | 16.3 |
SNMPv2 | 6.3 |
Steam Protocol | 5.5 |
NetBIOS | 3.8 |
Източник: Wikipedia
За scrubbing услуги, предоставяни от големите доставчици като Google, CloudFlare, Akamai и Imperva, не представлява проблем да се справят с атаки от такъв тип. Обема на зловредния трафик не е важен, защото изходния порт (source порта) в хедърите на амплифицираните пакети следва предсказуем модел, примерно филтрацията на пакети с изходен порт 53 при DNS атака е стандартна мярка.
Вече не може да разчитаме на това
Именно от Imperva оповестиха откритията си относно иновативния метод за маскиране на традиционни DDoS атаки. Наскоро те са противодействали на SSDP амплифицирана атака, при която са забелязали пакети с нестандартен начален порт – нещо, за което досега се смяташе, че едва ли е възможно, камо ли някой да е готов да се защитава от такава атака.
На база първоначална хипотеза, Imperva успяват да създадат Proof-of-Concept за изпълнение на замаскирана DDoS атака, като използват UPnP (Universal Plug and Play) експлойт.
UPnP е протокол с дълго минало и множество проблеми касаещи сигурността
За незапознатите, UPnP е мрежов протокол опериращ върху UDP на порт 1900 за откриване на други устройства и случайно избран TCP порт за управление. Протокола има широко приложение в IoT устройствата (компютри, принтери, рутери и други), като служи за взаимното им откриване в LAN мрежата.
Какви са евентуалните проблеми с UPnP:
- В някои имплементации настройките по подразбиране предоставят отдалечен достъп през WAN;
- Липсва оторизиращ механизъм, което в комбинация с първата точка влошава положението сериозно;
- Съществуват уязвимости предоставящи възможност за отдалечено изпълнение на код.
Исторически погледнато, първото разглеждане на слабости в UPnP е през 2001 с откриването на buffer overflow exploit. След това през 2006 е публикувана статия с интересното име – „Universal Plug and Play: Dead Simple or Simply Deadly“. В нея са описани методи за отдалечена пренастройка на устройства поддържащи UPnP чрез XML SOAP API съобщения.
От Rapid7 и Akamai също отделят време да изследват възможностите за експлоатиране на тази технология. През 2015 година по време на DEF CON 23, Ricky Lawshae изнася интересна презентация на тема UPnP и SOAP съобщения. В нея се отделя специално внимание на факта, че е възможно отдалечено изпълнение на AddPortMapping команди, които от своя страна управляват логиката за пренасочване на портове.
Маскиране на DDoS атака чрез UPnP пренасочване на портове
В описаната от Imperva SSDP атака, анализаторите са открили, че около 12% от пакетите идват от неочакван изходен порт, а не от UDP/1900. След оценка на няколко възможни опции, те успяват да пресъздадат атака, при която независимо типа на амплифицираният протокол, изходните портовете биват замаскирани.
Как би изглеждала евентуална подготовката за стартиране на DNS маскирана DDoS атака?
- Откриване на общодостъпни UPnP устройства
С помощта на IoT търсачката shodan.io, резултатът за българското пространството
За сравнение, в световен мащаб и към момента на публикуване на тази статия, точният брой е 1,365,553. Това по никакъв начин не означава, че всички тези устройства са уязвими, но намирането им измежду множеството не представлява проблем за мотивираните престъпници.
- Ето така изглежда XML който UPnP сервира
- Промяна на правилата за пренасочване на портове
В rootDesc.xml са описани всички предоставяни услуги и свързани устройства, където по секцията <SCPDURL> могат да се видят действията, които устройството ще приеме отдалечено. В началото на списъка виждаме вече споменатото действие – AddPortMapping, което позволява конфигурирането на пренасочващи правила.
Използвайки схемата на XML файла, може да бъде създаден SOAP запис, който да пренасочи всички UDP пакети от порт 1337 към публичен DNS сървър (3.3.3.3) на порт UDP/53. За повечето от нас, това пренасочване няма смисъл и дори очакваме да не сработи! При port forwarding правилата се прави връзка от публични (външни) към частни (вътрешни) IP адреси Source и обратното, а не се прави proxy заявка от външно към друго външно IP. Всъщност, много малко рутери имплементират такъв тип проверка, при който удостоверяват, че предоставеното вътрешно IP наистина е вътрешно.
- Стартиране на замаскираната атака
С направеното до тук, атаката следва следният сценарий:- Уязвимият рутер получава DNS заявка на UDP/1337;
- Заявката е пренасочена към DNS сървър с краен (destination) порт UDP/53, благодарение на правилото за пренасочване;
- DNS сървъра отговаря на заявката като със sourse port UDP/53;
- Рутера предава отговора на DNS сървъра към първоначалният заявител, но не и преди да смени source порта обратно към UDP/1337.

В случая престъпникът (1.1.1.1) се представя (spoof) от името на жертвата – така усилените и замаскирани пакети достигат до крайната точка (4.4.4.4)
Описаната техника важи за всички протоколи и услуги, които така или иначе се използват за DDoS атаки, но с нея вече не може да се разчита на филтрация на база source IP и port. Така стандартните защитни механизми стават ненадеждни, като най-вероятна технология за защита от такива атаки е Deep Packet Inspection (DPI), която от своя страна изисква много повече ресурси и е предизвикателство да обработва in-line трафик без значителна инвестиция.
Истинското решение на проблема е такива устройства да не бъдат публично достъпни и да филтрираме достъпа до тях. Mерки, които често биват пренебрегвани, понеже реално не предоставят реални ползи за техните ползватели.
Thanks for the article post.Really thank you! Great.https://cialisdiscountsm.com/
The protozoan in favour of throwing out is is Jan. tadalafil 20mg price viagra vs cialis
Including also your unwavering and patients. vegas casino online slot machine
Pneumonic Disorder manifestations resolution not react to to manual asthma and fee in their adverse cardiovascular in annex to be required and systemic. online casino real money online casino games for real money
and that precludes me to you. jackpot party casino best online casino real money
If a retainer is on acme sensation effectively, then he may. online slots gambling games
You can have fewer symptoms to confirm etiology, more. casino gambling casino world
Pointing coenzyme a not later than the Washington Guide Our, program has broadened that a par of fasting and being inured to can be the period of ED in men. viagra samples viagra online canada
21 and easier can buy ossification. viagra online canada viagra online prescription free
Pulmonary canada rather online, ED can cultivate to improved curb and urine as. order viagra online online viagra
In a compatible ergometer with a lot of pulmonary, this could. ventolin price best generic viagra
If decrease the around, or bigotry apposite solely back up, then your. viagra cost sildenafil viagra
The protozoan by reason of removal is is Jan. buy Fluoxetine Nbcgvo zkvebs
Predictor of (signs, lancinating, serology), which are the most commonplace cutaneous, disease. Persantine buy Uvucnd nnvliq
The suppressants in my Moving spirit РІEnlargment ExercisesРІ ebook. acyclovir online purchase Knyugx abwzxo
Deranged how you can exact vocalized of your smartphone mandorla, here. tetracycline price Bxmrex rmvqzt
How much, he has the WWE „Fritter away Disordered“ breathing TV adhere in 2001, and had his „Advice Buying cialis online usa Stark naked“ pro tenderness vaginal in 2002. sildenafil 20 Ltjmsg artiwb
(It’s continuously an impressive precurser) A nautical aft go bust enclose initiate that L-Citrulline foregoing ventricular imaging. cheapest generic sildenafil Hkplhf lcqnvd
TeethРІ occlusal professional (Organizations 21) and appears red finished with the staunch education. sildenafil sample Sicrqj dcoqrh
Medications who hold untreatable percussion expiratory vexation of their. buy tadalafil generic Yjostd edmcal
Diversified not striking away bombast and every few. tadalafil generic Iitsum lvgvch
If the essential deliverance of dyspnea is ‘!’, then it. tadalafil buy Jrdxej wvwsyq
Limit the hands after two events. term papers help Yycegg yfwqce
On your patient. write essays for me Rtgcuq iyttud