Как ахиллесова пята UDP-протокола способна привести к цифровой катастрофе.
Исследователи из центра информационной безопасности новый вид атаки типа «отказ в обслуживании» (), получившей название «Loop DoS». Атака затрагивает протоколы прикладного уровня, вызывая бесконечные коммуникационные циклы между сетевыми сервисами и создавая огромные объёмы трафика.
Атака осуществляется через -протокол и затрагивает примерно 300 000 хостов и их сети по всему миру. Уязвимость, получившая обозначение связана с недостаточной верификацией пакетов данных в реализации UDP-протокола, что делает его уязвимым для подделки IP-адресов.
Злоумышленники могут инициировать самоподдерживающийся механизм, генерирующий чрезмерный трафик, что приводит к отказу в обслуживании на целевой системе или даже во всей сети. Атака «Loop DoS» может быть запущена даже с одного хоста, путём отправки всего одного сообщения.
Как отмечает Координационный центр при университете Карнеги-Меллона, возможные последствия атаки включают перегрузку уязвимых сервисов, атаки на сетевую инфраструктуру и усиленные DoS или DDoS-атаки через сетевые циклы.
Исследователи CISPA Епенг Пан и Кристиан Россоу указывают на значительный потенциальный ущерб от атаки, влияющий как на устаревшие протоколы (QOTD, Chargen, Echo), так и на современные (DNS, NTP, TFTP), которые имеют решающее значение для базовых функций Интернета, таких как синхронизация времени, разрешение доменных имён и передача файлов без аутентификации.
«Если два сервера приложений имеют уязвимую реализацию указанного протокола, злоумышленник может инициировать обмен данными с первым сервером, подделав сетевой адрес второго сервера (жертвы)», — объясняли исследователи CERT. «Во многих случаях первый сервер ответит жертве сообщением об ошибке, что также вызовет аналогичное поведение и на другом сервере».
Этот процесс может продолжаться до тех пор, пока все доступные ресурсы серверов не будут полностью исчерпаны, что сделает их невосприимчивыми к легитимным запросам.
По словам исследователей, данная атака легко эксплуатируется, хотя пока нет свидетельств её активного использования. Среди уязвимых производителей сетевого оборудования такие известные бренды, как Broadcom, Cisco, Honeywell, Microsoft и MikroTik.
Для предотвращения риска DoS-атак методом «Loop DoS», CERT рекомендует устанавливать последние патчи от производителей, отключать ненужные UDP-сервисы и применять правила брандмауэра и списки контроля доступа для UDP-приложений.
Кроме того, рекомендуется использовать антиспуфинговые решения, такие как BCP38 и Unicast Reverse Path Forwarding (uRPF), а также меры Quality-of-Service (QoS) для ограничения сетевого трафика и защиты от злоупотреблений сетевыми циклами. Эти меры помогут минимизировать риск и обеспечить защиту от возможных злоупотреблений.
Подробнее:
Исследователи из центра информационной безопасности новый вид атаки типа «отказ в обслуживании» (), получившей название «Loop DoS». Атака затрагивает протоколы прикладного уровня, вызывая бесконечные коммуникационные циклы между сетевыми сервисами и создавая огромные объёмы трафика.
Атака осуществляется через -протокол и затрагивает примерно 300 000 хостов и их сети по всему миру. Уязвимость, получившая обозначение связана с недостаточной верификацией пакетов данных в реализации UDP-протокола, что делает его уязвимым для подделки IP-адресов.
Злоумышленники могут инициировать самоподдерживающийся механизм, генерирующий чрезмерный трафик, что приводит к отказу в обслуживании на целевой системе или даже во всей сети. Атака «Loop DoS» может быть запущена даже с одного хоста, путём отправки всего одного сообщения.
Как отмечает Координационный центр при университете Карнеги-Меллона, возможные последствия атаки включают перегрузку уязвимых сервисов, атаки на сетевую инфраструктуру и усиленные DoS или DDoS-атаки через сетевые циклы.
Исследователи CISPA Епенг Пан и Кристиан Россоу указывают на значительный потенциальный ущерб от атаки, влияющий как на устаревшие протоколы (QOTD, Chargen, Echo), так и на современные (DNS, NTP, TFTP), которые имеют решающее значение для базовых функций Интернета, таких как синхронизация времени, разрешение доменных имён и передача файлов без аутентификации.
«Если два сервера приложений имеют уязвимую реализацию указанного протокола, злоумышленник может инициировать обмен данными с первым сервером, подделав сетевой адрес второго сервера (жертвы)», — объясняли исследователи CERT. «Во многих случаях первый сервер ответит жертве сообщением об ошибке, что также вызовет аналогичное поведение и на другом сервере».
Этот процесс может продолжаться до тех пор, пока все доступные ресурсы серверов не будут полностью исчерпаны, что сделает их невосприимчивыми к легитимным запросам.
По словам исследователей, данная атака легко эксплуатируется, хотя пока нет свидетельств её активного использования. Среди уязвимых производителей сетевого оборудования такие известные бренды, как Broadcom, Cisco, Honeywell, Microsoft и MikroTik.
Для предотвращения риска DoS-атак методом «Loop DoS», CERT рекомендует устанавливать последние патчи от производителей, отключать ненужные UDP-сервисы и применять правила брандмауэра и списки контроля доступа для UDP-приложений.
Кроме того, рекомендуется использовать антиспуфинговые решения, такие как BCP38 и Unicast Reverse Path Forwarding (uRPF), а также меры Quality-of-Service (QoS) для ограничения сетевого трафика и защиты от злоупотреблений сетевыми циклами. Эти меры помогут минимизировать риск и обеспечить защиту от возможных злоупотреблений.
Подробнее:
