بروتوكولات شبكة التقادم التي أسيء استخدامها في هجمات DDoS

يتم استخدام بروتوكولات شبكة التقادم القديمة التي ما زالت تستخدم من قبل كل الأجهزة المتصلة بالإنترنت تقريبًا من قبل المتسللين لإجراء هجمات رفض الخدمة الموزعة (DDoS).

بائع الحماية وجد Prolexic أن المهاجمين يستخدمون بشكل متزايد بروتوكولات لما تسميه "هجمات الحرمان من الانعكاس الموزعة" (DRDOS) ، حيث يتم خداع جهاز ما لإرسال عدد كبير من الزيارات إلى شبكة الضحية.

"هجمات انعكاس بروتوكول دوردوس ممكنة بسبب الكامنة تصميم الهندسة المعمارية الأصلية ، "كتب Prolexic في ورقة بيضاء. "عندما تم تطوير هذه البروتوكولات ، كانت الوظيفة هي التركيز الرئيسي ، وليس الأمن."

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

يتم استهداف المؤسسات الحكومية والبنوك والشركات من خلال هجمات DDoS لمجموعة متنوعة من الاسباب. يستخدم الهاكر أحيانًا هجمات DDoS لجذب الانتباه بعيدًا عن الأذى أو الرغبة في تعطيل المؤسسة لأسباب سياسية أو فلسفية.

أحد البروتوكولات المستهدفة ، والمعروف باسم Network Time Protocol (NTP) ، يستخدم في جميع أنظمة التشغيل الرئيسية ، كتب Prolexic البنية التحتية للشبكة والأجهزة المدمجة. يتم استخدامه لمزامنة الساعات بين أجهزة الكمبيوتر والخوادم.

يمكن للهاكر إطلاق في هجوم ضد NTP عن طريق إرسال العديد من الطلبات للحصول على التحديثات. من خلال انتحال أصل الطلبات ، يمكن توجيه استجابات NTP إلى مضيف ضحية.

يبدو أن المهاجمين يسيئون استخدام وظيفة مراقبة في البروتوكول المسمى NTP mode 7 (monlist). وقد تم استهداف صناعة القمار من خلال هذا النمط من الهجوم ، كما يقول Prolexic.

تستخدم أجهزة الشبكة الأخرى ، مثل الطابعات وأجهزة التوجيه وكاميرات الفيديو IP ومجموعة متنوعة من الأجهزة الأخرى المتصلة بالإنترنت ، بروتوكول طبقة التطبيقات يسمى بروتوكول إدارة الشبكة البسيط (SNMP).

SNMP يتصل بالبيانات المتعلقة بمكونات الجهاز ، كتب Prolexic ، مثل القياسات أو قراءات أجهزة الاستشعار. تُرجع أجهزة SNMP ثلاثة أضعاف البيانات عندما تتعرض لضغوط ، مما يجعلها طريقة فعالة للهجوم. مرة أخرى ، سوف يرسل مهاجم طلب IP مخادع إلى مضيف SNMP ، يوجه الاستجابة إلى ضحية.

كتب Prolexic هناك طرق عديدة للتخفيف من هجوم. أفضل نصيحة هي تعطيل SNMP إذا لم تكن هناك حاجة.

حذر فريق الجاهزية لحالات الطوارئ في الولايات المتحدة المسؤولين في عام 1996 من سيناريو هجوم محتمل يتضمن بروتوكول آخر ، أو بروتوكول مولد الأحرف ، أو CHARGEN.

يتم استخدامه بمثابة أداة التصحيح لأنه يرسل البيانات مرة أخرى بغض النظر عن المدخلات. إلا أن Prolexic كتبت أنه "قد يسمح للمهاجمين بصنع حمولات ضارة على الشبكة وتعكسها عن طريق انتحال مصدر الإرسال لتوجيهها بفعالية إلى الهدف. يمكن أن يؤدي ذلك إلى حلقات المرور وتدهور الخدمة بكميات كبيرة من حركة مرور الشبكة. "

CERT موصى به في ذلك الوقت لتعطيل أي خدمة بروتوكول مستخدم (Datagram) لـ UDP مثل CHARGEN إذا لم تكن هناك حاجة.