Было обнаружено, что новый вектор атаки типа "отказ в обслуживании" (DoS) нацелен на протоколы прикладного уровня, основанные на протоколе пользовательских дейтаграмм (UDP), что подвергает риску сотни тысяч хостов.
Так называемые циклические DoS-атаки, подход объединяет "серверы этих протоколов таким образом, что они обмениваются данными друг с другом на неопределенный срок", - заявили исследователи из CISPA-Центра информационной безопасности имени Гельмгольца.
UDP по своей конструкции является протоколом без установления соединения, который не проверяет исходные IP-адреса, что делает его уязвимым для подмены IP-адресов.
Таким образом, когда злоумышленники подделывают несколько UDP-пакетов, чтобы включить IP-адрес жертвы, сервер назначения отвечает жертве (в отличие от субъекта угрозы), создавая отраженную атаку типа "отказ в обслуживании" (DoS).
Последнее исследование показало, что определенные реализации протокола UDP, такие как DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD и Time, могут быть использованы для создания самоподдерживающегося цикла атаки.
"Она объединяет две сетевые службы таким образом, что они продолжают отвечать на сообщения друг друга бесконечно долго", - сказали исследователи. "При этом они создают большие объемы трафика, которые приводят к отказу в обслуживании задействованных систем или сетей. Как только запускается триггер и цикл приводится в действие, даже злоумышленники не в состоянии остановить атаку."
Проще говоря, при наличии двух серверов приложений, на которых работает уязвимая версия протокола, субъект угрозы может инициировать связь с первым сервером путем подмены адреса второго сервера, в результате чего первый сервер ответит жертве (т.е. Второму серверу) сообщением об ошибке.
Жертва, в свою очередь, также будет демонстрировать аналогичное поведение, отправляя другое сообщение об ошибке на первый сервер, эффективно истощая ресурсы друг друга и делая любую из служб невосприимчивой.
"Если ошибка на входе создает ошибку на выходе, а вторая система ведет себя так же, эти две системы будут бесконечно посылать сообщения об ошибках туда и обратно", - объяснили Епенг Пан и Кристиан Россоу.
CISPA заявила, что примерно 300 000 хостов и их сетей могут быть использованы для проведения циклических DoS-атак.
Хотя в настоящее время нет доказательств того, что атака была применена в качестве оружия в дикой природе, исследователи предупредили, что эксплуатация тривиальна и что затронуты многочисленные продукты Broadcom, Cisco, Honeywell, Microsoft, MikroTik и Zyxel.
"Злоумышленникам нужен единственный хост, способный к подмене, чтобы запускать циклы", - отметили исследователи. "Поэтому важно поддерживать инициативы по фильтрации поддельного трафика, такие как BCP38".
Так называемые циклические DoS-атаки, подход объединяет "серверы этих протоколов таким образом, что они обмениваются данными друг с другом на неопределенный срок", - заявили исследователи из CISPA-Центра информационной безопасности имени Гельмгольца.
UDP по своей конструкции является протоколом без установления соединения, который не проверяет исходные IP-адреса, что делает его уязвимым для подмены IP-адресов.
Таким образом, когда злоумышленники подделывают несколько UDP-пакетов, чтобы включить IP-адрес жертвы, сервер назначения отвечает жертве (в отличие от субъекта угрозы), создавая отраженную атаку типа "отказ в обслуживании" (DoS).
Последнее исследование показало, что определенные реализации протокола UDP, такие как DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD и Time, могут быть использованы для создания самоподдерживающегося цикла атаки.
"Она объединяет две сетевые службы таким образом, что они продолжают отвечать на сообщения друг друга бесконечно долго", - сказали исследователи. "При этом они создают большие объемы трафика, которые приводят к отказу в обслуживании задействованных систем или сетей. Как только запускается триггер и цикл приводится в действие, даже злоумышленники не в состоянии остановить атаку."
Проще говоря, при наличии двух серверов приложений, на которых работает уязвимая версия протокола, субъект угрозы может инициировать связь с первым сервером путем подмены адреса второго сервера, в результате чего первый сервер ответит жертве (т.е. Второму серверу) сообщением об ошибке.
Жертва, в свою очередь, также будет демонстрировать аналогичное поведение, отправляя другое сообщение об ошибке на первый сервер, эффективно истощая ресурсы друг друга и делая любую из служб невосприимчивой.
"Если ошибка на входе создает ошибку на выходе, а вторая система ведет себя так же, эти две системы будут бесконечно посылать сообщения об ошибках туда и обратно", - объяснили Епенг Пан и Кристиан Россоу.
CISPA заявила, что примерно 300 000 хостов и их сетей могут быть использованы для проведения циклических DoS-атак.
Хотя в настоящее время нет доказательств того, что атака была применена в качестве оружия в дикой природе, исследователи предупредили, что эксплуатация тривиальна и что затронуты многочисленные продукты Broadcom, Cisco, Honeywell, Microsoft, MikroTik и Zyxel.
"Злоумышленникам нужен единственный хост, способный к подмене, чтобы запускать циклы", - отметили исследователи. "Поэтому важно поддерживать инициативы по фильтрации поддельного трафика, такие как BCP38".
