سوءاستفاده DDoS از رهیاب‌ برای حملات

تاریخ انتشار : ۰۲ شهريور ۱۳۹۴

نفوذگران از رهیاب هایی که به درخواست های (SSDP) بر روی اینترنت پاسخ می دهند برای تقویت حملات توزیع شده برای از کاراندازی سرویس (DDoS) استفاده می کنند.

به گزارش گرداب از باشگاه خبرنگاران جوان؛ بر اساس گزارشی که توسط شرکت Akamai Technologies ارائه دهنده خدمات رایانش ابری منتشر شد، تعداد حملات توزیع شده برای از کاراندازی سرویس در حال افزایش است. بر طبق این گزارش، تعداد این حملات در سه ماهه دوم سال میلادی جاری در مقایسه با سه ماهه اول، ۷ درصد و در مقایسه با دوره مشابه در سال ۲۰۱۴، ۱۳۲ درصد افزایش یافته است.
 
هر چند که بر اساس یافته های Akamai Technologies، حملات نفوذگران در سال میلادی جاری با قدرت کمتری اجرا شده اند، اما مدت زمان فعال بودن این حملات طولانی تر بوده است. تعداد کمی از سازمان ها مجهز به تجهیزات لازم برای مقابله با این گونه حملات هستند.
 
جریان سیل آسای حملات SYNی(SYN Flood) با ۱۶ درصد و حملات "برگشت خورده” به کمک درخواست های SSDP با ۱۵/۸ درصد، بیشترین سهم را در انواع حملات توزیع شده برای از کاراندازی سرویس داشته اند.
 
سوءاستفاده از رهیاب‌ها برای حملات DDoS
در حملات برگشت خورده (Reflected)، نفوذگر با ارسال بسته های درخواستی که در آنها نشانی IP فرستنده، یک نشانی جعلی است سبب می شود که پاسخ دستگاه گیرنده به نشانی جعلی که در واقع نشانی دستگاه قربانی است ارسال شود. بسته های درخواست دارای حجم بسیار کمی هستند ولی بسته های پاسخ حجیم تر هستند. لذا نفوذگران بطور غیرمستقیم باعث شدت بخشیدن هجوم ترافیک به سوی دستگاه قربانی می شوند.
 
از سرورهای DNS و NTP آسیب پذیر در سال های اخیر به کرات برای اینگونه حملات استفاده شده است. اما در اواخر سال ۲۰۱۴ سوءاستفاده از پودمان SSDP در حملات "برگشت خورده” مرسوم شد. با وجودی که ضریب تقویت حملات از طریق پودمان SSDP در مقایسه با پودمان های DNS و NTP کمتر است، اما امتیاز بزرگی برای نفوذگران دارد و آن هم وجود میلیون های دستگاه آسیپ پذیر در سراسر دنیاست.
 
SSDP بخشی از UPnP است. UPnP مجموعه ای از پودمان های شبکه ای است که به دستگاه ها امکان می دهد یکدیگر را بدون نیاز به دخالت کاربر بیابند. شبکه گستر, اما مشکل اینجاست که تعداد زیادی از رهیاب ها و دستگاه ها به نحوی پیکربندی شده اند که به درخواست های SSDP پاسخ دهند. در صورت متصل بودن این تجهیزات به اینترنت، بالقوه می توانند به وسیله ای برای تقویت حملات توزیع شده برای از کاراندازی سرویس تبدیل شوند.
 
بر اساس آمار Shadowserver Foundation در حال حاضر حدود ۱۲ میلیون دستگاه متصل به اینترنت وجود دارد که درگاه SSDP آنها باز است. دستگاه هایی که اکثر آنها رهیاب های خانگی با کاربرانی با دانش IT کم است.