Akamai的安全研究團隊PLXsert發布安全威脅報告,提醒現在部分黑客正在利用1988年發布的RIPv1協議漏洞來執行反射性的分散式阻斷服務攻擊(DDoS),而且只利用了少數采用RIPv1協議的設備就能讓目標網站停止運作。
在最近的安全攻擊中,黑客特別喜歡那些RIPv1路由表上擁有大量可疑路徑的路由器,利用了500個仍采用RIPv1的路由器,并讓每個單一請求都傳送504位元的封包到目標網站,造成該站最多每秒收到320萬個封包,尖峰攻擊流量達到每秒12.8Gb。
路由器老舊協議漏洞被用做DDoS反射式攻擊
RIP的全名為Routing Information Protocol,這個路由信息協議屬于內部路由協議,可根據路徑所經過的設備數量來決定最佳路徑,基于該協議的路由設備每隔30秒就會互相更新路由信息。而此次攻擊所使用的RIPv1為1988年發布的第一個RIP版本,由于有安全弱點而幾乎已遭棄用,在1998年已有第二個版本RIPv2,之后也支持IPv6的RIPng。
PLXsert解釋成,RIPv1在小型的路由網絡上能夠很快速且輕易地分享路由信息,基于RIPv1的路由設備在啟動后就會送出請求,任何收到請求的設備均會以路由名單回應,黑客就是利用這個等同于廣播效應的模式嵌入目標網站的IP地址。
在最近的攻擊行動中,黑客偏好那些RIPv1路由表中包含大量可疑路徑的路由器,利用了500個仍采用RIPv1的路由器,并讓每個單一請求都傳送504位的封包到目標網站,造成該站最多每秒收到320萬個封包,尖峰攻擊流量達到每秒12.8Gb。
PLXsert的監控顯示目前網絡上約有53,693個基于RIPv1的路由設備,其中絕大多數都是SOHO路由器,大部份位于美國。PLXsert建議路由設備用戶升級到RIPv2或RIPng并啟用認證機制。
京公網安備 11010502049343號