攻擊者利用用戶裝機量巨大的BT(BitTorrent)軟件實施反射型DDoS攻擊,攻擊者只需要極小的帶寬,就能通過“反射”放大50-120倍攻擊流量,輕松“摧毀”大型網站。
利用BT軟件進行的DoS攻擊
在BT協議中我們研究發現,其中存在分布式反射DoS攻擊(DRDoS)攻擊漏洞,因為數以百萬計的人每天都會用這種協議在互聯網上交換下載文件。上述幾款應用的研究結果表明,它們是很適合用來做分布式反射DoS攻擊的。這種攻擊在一個BT用戶端只需使用極少的帶寬,發送畸形請求給其他BT用戶后,就能四兩撥千斤似的高效率實施攻擊。
其他使用BT軟件的計算機接受了攻擊者精心構造的攻擊請求后,會“反射”打向第三方受害人50-120倍的流量。這種攻擊的關鍵是BT的用戶數據報協議,它本身并沒有提供任何機制來防止偽造IP地址。攻擊者可以將自己的IP地址替換成受害人的地址,結果就造成了受害人莫名其妙地被洪水DoS攻擊。
第九屆USENIX黑客技術研討會的研究人員在報告里寫道:
“攻擊者發起分布式反射DoS攻擊時,并不會直接將流量發送給受害人。相反,攻擊者會利用網絡協議中的IP欺騙,通過其他人反饋流量給受害者。這種攻擊可能會有一個或多個源節點。”
反射性DoS技術
反射型DoS攻擊可能會有三個主要的優勢:
1.隱藏了攻擊者的身份
2.可以實現分布式攻擊,即流量來源于多個IP、多臺計算機
3.可以放大原始攻擊數據包,某些情況下甚至高達120倍
DoS攻擊技術并不是什么新技術,所謂Smurf攻擊和DNS放大攻擊,就是分別利用路由和域名系統服務器反饋流量,放大了火力來攻擊某個不幸的目標。
然而,近年來存在這些漏洞的服務器數量已經下降,這類攻擊漸漸變得沒有那么普遍,雖然DNS放大攻擊依然是個令人頭疼的問題。在去年,針對游戲網站的攻擊者利用了一種新技術,利用了運行網絡時間協議的時間同步服務器進行DoS放大攻擊。在2014年初統計時,這種手法的使用效果破了紀錄,攻擊達到了每秒400千兆數據。
把DoS“放大”攻擊技術利用在用戶裝機量大的程序上時,無疑是最有效的——比如本文中的BT下載軟件。研究人員表示,他們在網絡上掃描發現全球約210萬個獨立IP使用了BT軟件。除此之外,研究人員對BT協議提出了部分修復建議,可以用來防止IP欺騙和放大攻擊。
京公網安備 11010502049343號