Rekommenderas, 2019

Redaktionen

BitTorrent-program kan missbrukas för att överbelasta deial-of-service-attacker

BitTorrent-applikationer som används av hundratals miljoner användare runt om i världen kan luras på att delta i distribuerade denial-of-service (DDoS) -attacker, vilket förstärker den skadliga trafiken som genereras av angripare med upp till 50 gånger.

DDoS reflektion är en teknik som använder IP (Internet Protocol) adressspoofing för att lura en tjänst för att skicka svar till en tredje part i stället för den ursprungliga avsändaren. Det kan användas för att dölja källan till skadlig trafik.

Tekniken kan typiskt användas mot tjänster som kommunicerar via UDP (User Datagram Protocol), eftersom UDP, till skillnad från Transmission Control Protocol (TCP), inte utför handslag och därför källa IP-adressvalidering. Det betyder att en angripare kan skicka ett UDP-paket med en smidd header som anger någon annans IP-adress som källa, vilket gör att tjänsten skickar svaret till den adressen.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Under de senaste två åren har angripare missbrukat UDP-baserade protokoll som Domain Name System (DNS), Network Time Protocol (NTP) och SNMP (Simple Network Management Protocol) för att starta DDOS-attacker med bandbredd upp till 400Gbps.

Fyra forskare från City University London, Mittelhessen University of Applied Sciences i Friedberg, Tyskland och cloud networking firm PLUMgrid, analyserade protokollen som används av populära BitTorrent-klienter och fann att de också kunde missbrukas för DDoS reflektion och förstärkning.

I ett dokument som presenterades förra veckan vid den 9: e USENIX Workshop on Offensive Technologies (WOOT '15) visade forskarna hur populära program som uTorrent, Vuze eller BitTorrent Mainline-klienten kan Hjälp attackerare förstärka DDoS-trafiken med upp till 50 gånger. BitTorrent Sync (BTSync), som är ett separat protokoll som är utformat för synkronisering av peer-to-peer-filer, kan utnyttjas för en förstärkningsfaktor på upp till 120.

Ännu mindre populära BitTorrent-klienter med mindre marknadsandelar som Transmission eller LibTorrent är sårbar, men deras förstärkningsfaktor är betydligt lägre på 4 procent respektive 5 procent, säger forskarna.

Utnyttjande av BitTorrent-protokoll för DDoS-förstärkning är på många sätt effektivare än att utnyttja DNS eller NTP. Det beror på att det finns ett relativt litet antal sårbara DNS- eller NTP-servrar tillgängliga på Internet, men det finns tiotals miljoner datorer som kör sårbara BitTorrent-program.

Dessutom använder DNS och NTP vanligtvis ett fast portnummer så det är lätt att filtrera skadlig trafik över dessa protokoll. Men BitTorrent använder dynamiska portintervall, så detektera och blockera en attack kräver specialiserade brandväggar som kan utföra djupa paketinspektioner, säger forskarna.

Dessutom kan angripare utnyttja en BitTorrent-protokollförlängning, kallad Message Stream Encryption (MSE), som stöds av de flesta BitTorrent-klienter och är utformad för att kryptera trafiken. DDoS-förstärkning med MSE skulle vara ännu svårare att filtrera, sa forskarna.

Det finns flera typer av motåtgärder som kan genomföras för att förhindra sådana attacker, enligt forskarna.

Man kräver att ISP: er ska genomföra rekommenderade säkerhetsmetoder som nätverksinkomstfiltrering för att förhindra IP-spoofing i allmänhet. Enligt spooferprojektet, som spårar hur många nätverk som tillåter IP-spoofing på Internet, kan cirka 24 procent av de offentligt dirigerade IP-adressprefixerna i världen för närvarande vara spoofed.

En annan motåtgärd skulle vara att implementera en TCP-liknande, tre -vägshandslag i Micro Transport Protocol (uTP) som för närvarande används av de flesta BitTorrent-klienter. Detta skulle emellertid vara en betydande förändring som skulle kräva en lång antagningstid och skulle skapa oförenlighet med äldre kunder.

Slutligen kan BitTorrent-programmen begränsa de meddelanden som de innehåller i deras första uTP-paket till en, som vissa kunder redan gör. Detta skulle inte hindra attacken, men skulle minska förstärkningsfaktorn till omkring 4 eller 5, sa forskarna.

Top