Akamai находит, что атакующие восстановили RIPv1, старый десятилетиями протокол, для усиления их нападений DoS на цели.Атакующие используют три десятилетия старый Протокол Интернета для передачи информации о сети между маршрутизаторами для предназначения для систем и сетей с крупными лавинными рассылками данных, заявили фирмы сетевой безопасности в начале июля.Создаваемый в течение 1970-х и формализованный в 1988, версия 1 Протокола маршрутной информации или RIPv1, обычно позволяет одному маршрутизатору запрашивать информацию о сети от другого маршрутизатора как способ быстрого изучения структуры локальной сети.
Атакующие могут злоупотребить маршрутизаторами, которые были неправильно сконфигурированы для предоставления доступа к функции из общедоступного Интернета для направления ответов на интернет-адрес цели, приводящий только к реализовываемому нападению отказа в обслуживании (DoS).Сетевая безопасность и фирма инфраструктуры, Akamai обнаружил лавинные рассылки данных RIPv1 с пиковой пропускной способностью 12,9 гигабит в секунду, компания, сказали на консультации, выпущенной 1 июля.
Akamai вычислил, что атакующие, использующие протокол, могли усилить свои нападения фактором 131.«Они отправят запрос многократным устройствам сразу, и устройства все ответят назад всеми сетями, о которых они знают в их таблице маршрутизации», сказал Хосе Артига, главный исследователь в области безопасности с Akamai, eWEEK. «Мы видим сети максимум с 250 ответами маршрутов, так, чтобы результаты в большом количестве 504-байтовых ответов».Нападения усиления, где пакет единой сети, отправленный в уязвимый сервер, может привести к намного большему объему данных, отправленных в цель, стали популярной формой нападения DoS.
В 2013 и в начале 2014, атакующие использовали серверы сетевого времени – компьютеры, которые устанавливают общее время через Интернет как способ усилить их трафик атаки. В последней половине 2014 и ранее в этом году, атакующие сфокусировались вместо этого на Простом Сервисном Протоколе обнаружения или SSDP, который используется Универсальными устройствами Plug and Play (UPnP) устройства для автоматического конфигурирования себя.
Поскольку RIPv1 основывается на фундаментальном Протоколе Интернета, известном как Протокол пользовательских дейтаграмм (UDP), который не проверяет исходный адрес, атакующие просто должны вставить интернет-адрес цели как источник запроса для наводнения сети жертвы.Другие фирмы сетевой безопасности также выпустили предупреждения о нападениях RIPv1. Fortinet, например, дал совет своим клиентам на нападениях.«Многие из этих старых маршрутизаторов представляют RIP в интерфейсе глобальной сети излишне и предоставляют доступ RIP к любому IP», заявила компания в сообщении в блоге 2 июля. «Когда маршрутизатор получает запрос, он назад реагирует на целевую машину, думая, что запрос прибыл оттуда.
Источник первоначального запроса может имитироваться».Атакующие ранее использовали протокол маршрутной информации для нападений DoS. Поскольку этим можно с готовностью злоупотребить, RIPv1 был удален как интернет-стандарт, но много сетевых устройств все еще поддерживают протокол.
Сканирование Интернета нашло почти 54 000 маршрутизаторов, отвечающих на запросы RIPv1, по данным Akamai.Поскольку отфильтровывание пакетов RIPv1 довольно просто, защитники могут легко адаптироваться к последнему нападению, заявила Артеага Акамая.
«Это могло быть недолгим», сказал он. «Но существует довольно много уязвимых систем там, так в ближайшей перспективе, существует потенциал, что Вы будете видеть более высокий объем нападений».