300 Bin İnternet Sunucusu 'Yıkıcı' Döngü DoS Saldırısı Riskiyle Karşı Karşıya


Araştırmacılar, uygulama katmanı mesajlarını hedef alan, yeni keşfedilen, kendi kendine devam eden hizmet reddi (DoS) saldırısının 300.000 İnternet ana bilgisayarını tehlikeye atma potansiyeline sahip olduğunu ve harekete geçtikten sonra durdurulmasının zor olabileceğini buldu.

CISPA Helmholtz Bilgi Güvenliği Merkezi'ndeki araştırmacılar Yepeng Pan ve profesör Christian Rossow saldırıyı fark etti, “döngü DoS” olarak adlandırıldı. Bir göre, iki ağ hizmetini “birbirlerinin mesajlarına süresiz olarak yanıt vermeye devam edecek şekilde” eşleştirerek bir tür sonsuz yanıt döngüsü yaratıyor. CISPA web sitesinde yayınlayın saldırıyı anlatıyor.

Bu dinamik, büyük miktarda trafik yaratarak ilgili herhangi bir sistem veya ağ için DoS ile sonuçlanır. Üstelik araştırmacılar, döngü harekete geçtiğinde saldırganların bile yalnızca tek bir kimlik sahtekarlığı yapabilen sunucudan tetiklenebilecek saldırıyı durduramayacağını söyledi.

Carnegie Mellon Üniversitesi CERT Koordinasyon Merkezi tarafından yapılan bir gönderiye göre saldırı, belirli kullanıcı datagram protokolü (UDP) tabanlı uygulamalarda bulunan yeni bir trafik döngüsü güvenlik açığından yararlanıyor. Kimliği doğrulanmamış bir saldırgan kötü niyetli olarak hazırlanmış paketleri kullanabilir DNS, NTP ve TFTP gibi çeşitli uygulama protokollerinin UDP tabanlı güvenlik açığı bulunan uygulamasına karşı, DoS'a ve/veya kaynakların kötüye kullanılmasına yol açar.

Bu programlara ek olarak araştırmacılar, CISPA'ya göre “İnternette temel işlevleri sağlamak için yaygın olarak kullanılan” Gündüz, Zaman, Aktif Kullanıcılar, Echo, Chargen ve QOTD gibi eski protokollerde de kusur buldular. postalamak.

Loop DoS “İğrenç” Bir Siber Saldırı Türüdür

Araştırmacılar, iki büyük farkla, neden olabilecekleri trafik hacimleri açısından bu saldırıyı, yükseltme saldırılarıyla aynı seviyeye getirdiler. Birincisi, savunmalar saldırının kendini tekrarlayan doğasını kapatmak için döngüleri sonlandırmadığı sürece, saldırganların döngü davranışı nedeniyle sürekli olarak saldırı trafiği göndermek zorunda olmamasıdır. Diğeri ise uygun bir savunma olmazsa DoS saldırısının bir süre daha devam etmesi muhtemeldir.

Aslında, DoS saldırıları Neredeyse her zaman Web mimarisindeki kaynak tüketimiyle ilgilidir, ancak şu ana kadar bir Web mülkünü tamamen çevrimdışı duruma getirmek için bu tür saldırıları kullanmak son derece zordu çünkü ” Cequence Security'de ikamet eden bilgisayar korsanı Jason Kent, “web mimarisinin kurbanı bir anda” diye açıklıyor.

Bir döngü arasında Saldırının oyunu önemli ölçüde değiştirdiğini çünkü çağrının mimarinin içinden gelebileceğini ve daha sonra katlanarak büyüyebileceğini açıkladı.

Kent, “Sunucu A'yı bir kuruluşa Sunucu B'nin adresine verebilirim ve Sunucu B'ymişim gibi davranabilirim” diyor. “Sunucu A, Sunucu B'ye bir hata gönderecek ve Sunucu B de Sunucu A'ya sonsuza kadar veya içlerinden biri ölene kadar bir hata gönderecek.”

Bu, bir saldırganın milyonlarca ana bilgisayarı nasıl elde edeceğini planlama veya strateji oluşturma zorunluluğunu ortadan kaldırır ve döngü DoS saldırısını “iğrenç” olarak değerlendirerek potansiyel olarak “dışarıdan tetiklenen, ortamlar arasında yayılan basamaklı sistem hatalarına neden olabilir” diyor.

Dört DoS Saldırı Senaryosu

Araştırmacılar, döngü DoS saldırısının nasıl çalışabileceğini göstermek için dört tür saldırı senaryosu sundu. En basit senaryoda, bir saldırgan, tek bir hedef sunucuya odaklanmak için diğer “döngü” sunucularla birçok döngü oluşturarak, savunmasız bir sunucunun kendisine aşırı yükleme yapabilir. Bunun ya ana bilgisayar bant genişliğinin ya da hesaplama kaynaklarının tükenmesine yol açacağını söylediler. Bir defans oyuncusu yapabilir Bu saldırıyı durdurun döngü kalıplarından kaçmak için döngü sunucusuna yama uygulayarak.

İkinci bir senaryoda, saldırganlar çok sayıda döngü ana bilgisayarı içeren ağların omurgalarını hedefleyebilir ve bu ana bilgisayarları birbirleriyle eşleştirerek hedef ağ içinde binlerce ila milyonlarca döngü oluşturabilir. Araştırmacılar, harici ana bilgisayarlardan gelen bu tür saldırılara karşı korunmak için ağların IP sahtekarlığı yapılan trafiği dağıtabileceğini söyledi.

Üçüncü saldırı, saldırganların döngü sunucularını bireysel İnternet bağlantılarını tıkayacak şekilde eşleştirdiği saldırıdır. Araştırmacılar, “En basit durumda, bu bir hedef ağın yukarı bağlantısı olabilir” diye yazdı ve bunun, döngü çiftlerinin geçtiği herhangi bir İnternet bağlantısı üzerinde yapılabileceğini ekledi.

Araştırmacılar, “Bu amaçla, saldırganlar dahili döngü ana bilgisayarlarını harici olanlarla eşleştiriyor ve bu da döngü trafiği nedeniyle hedef ağın İnternet uplink'i üzerinde baskı yaratıyor” dedi.

Dördüncü ve nadir görülen bir saldırı senaryosu aynı zamanda en “yıkıcı tür”dür; döngü sunucularının tek bir yanıt değil birden fazla yanıt göndererek yalnızca sonsuza kadar devam etmekle kalmayıp aynı zamanda yoğunlaşan “kendi kendini güçlendiren döngülerin” yaratılmasına izin verdiği bir senaryodur. döngü frekanslarında” diye yazdı araştırmacılar. Savunmalar paket kaybına uğrasa bile, tüm ağ trafiğini kesmediği sürece bu saldırının sürekli olarak devam edeceğini eklediler.

Döngü DoS Saldırılarına Karşı Azaltma ve Savunma

Farklı döngü DoS saldırı senaryoları için halihazırda özetlenen belirli hafifletme önlemlerine ek olarak, böyle bir saldırıyı harekete geçtikten sonra hafifletmenin veya durdurmanın başka yolları da vardır; bu, sayısız kişi için iyi bir haberdir. savunmasız ana sunucularAraştırmacılar, bunları birdenbire düzeltmenin pratik olmadığını kabul etti.

Kent, UDP'yi engellemenin ve kimlik doğrulama ve izlemeyle TCP tabanlı iletişime geçmenin döngüsel DoS saldırısına karşı güvenlik açığını azaltabileceğini söylüyor. Ancak bu bir seçenek değilse, sistem yöneticileri “dahili güvenlik duvarları ve ağ donanımlarında ana bilgisayardan ana bilgisayara iletişimi sınırlamak isteyebilir” diye ekliyor.

Araştırmacılar tarafından önerilen diğer hafifletme önlemleri arasında şunlar yer alıyor: döngüsel DoS saldırısına karşı savunmasız olan hizmetlerin güncellenmesi veya kapatılması; geçici veya istemci kaynak bağlantı noktalarına sahip istemcilere hizmet erişimini kısıtlamak; ve ağdaki savunmasız yazılım veya ürünün belirlenmesi ve ürünün satıcısının istismar potansiyeli konusunda bilgilendirilmesi.





Source link