Envelhecimento de protocolos de rede abusados ​​em ataques DDoS

Os protocolos de rede ainda usados ​​por quase todos os dispositivos conectados à Internet estão sendo abusados ​​por hackers para realizar ataques distribuídos de negação de serviço (DDoS).

O fornecedor de segurança Prolexic descobriu que os invasores estão usando cada vez mais protocolos para o que significa “ataques de negação de serviço de reflexão distribuídos” (DrDos), onde um dispositivo é induzido a enviar um alto volume de tráfego para a rede da vítima.

“Os ataques de reflexão do protocolo DrDos são possíveis devido à inerente design da arquitetura original ”, escreveu Prolexic em um white paper. “Quando esses protocolos foram desenvolvidos, a funcionalidade era o foco principal, não a segurança.”

[Leitura adicional: Como remover malware do seu PC com Windows]

Organizações governamentais, bancos e empresas são alvo de ataques DDoS para uma variedade de razões. Os hackers às vezes usam ataques DDoS para desviar a atenção de outros danos ou querem interromper uma organização por motivos políticos ou filosóficos

Um dos protocolos de destino, conhecido como Network Time Protocol (NTP), é usado em todos os principais sistemas operacionais. infra-estrutura de rede e dispositivos embarcados, escreveu Prolexic. É usado para sincronizar relógios entre computadores e servidores.

Um hacker pode iniciar um ataque contra o NTP enviando muitas solicitações de atualizações. Ao falsificar a origem das solicitações, as respostas do NTP podem ser direcionadas a um host da vítima.

Parece que os invasores estão abusando de uma função de monitoramento no protocolo chamado modo NTP 7 (monlist). A indústria de jogos tem sido alvo desse tipo de ataque, segundo a Prolexic.

Outros dispositivos de rede, como impressoras, roteadores, câmeras de vídeo IP e uma variedade de outros equipamentos conectados à Internet usam um protocolo chamado Simple Network Management Protocol. (SNMP).

O SNMP comunica dados sobre componentes de dispositivos, escreveu a Prolexic, como medições ou leituras de sensores. Os dispositivos SNMP retornam três vezes mais dados do que quando recebem ping, tornando-os uma maneira eficaz de atacar. Novamente, um invasor enviará uma solicitação IP falsificada para um host SNMP, direcionando a resposta para uma vítima.

A Prolexic escreveu que há várias maneiras de atenuar um ataque. O melhor conselho é desabilitar o SNMP se não for necessário.

A Equipe de Prontidão de Emergência do Computador dos EUA avisou os administradores em 1996 sobre um possível cenário de ataque envolvendo outro protocolo, o Protocolo Gerador de Caracteres ou o CHARGEN.

ferramenta de depuração, uma vez que envia dados de volta, independentemente da entrada. Mas a Prolexic escreveu que “pode permitir que os invasores criem cargas de rede mal-intencionadas e as reflitam falsificando a fonte de transmissão para direcioná-la efetivamente a um alvo. Isso pode resultar em loops de tráfego e degradação do serviço com grandes quantidades de tráfego de rede. ”

CERT recomendado nesse momento para desativar qualquer serviço UDP (User Datagram Protocol), como CHARGEN, se não for necessário.