The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

06.07.2015 22:24  Зафиксировано использование протокола RIPv1 в качестве усилителя DDoS-атак

Организаторы DDoS-атак ввели в практику использование протокола маршрутизации RIPv1 в качестве усилителя трафика. В большинстве случаев в атаке использовались устройства Netopia 3000/2000, ZTE ZXV10 и TP-­LINK TD-8xxx, по умолчанию принимающие RIP-анонсы без аутенитификации через 520 UDP-порт. Смысл атаки с использованием усилителя трафика сводится к тому, что запросы с участвующих в DDoS-атаке поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика путем отправки UDP-пакетов с подставным обратным адресом.

Несмотря на то, что протокол RIPv1 был предложен в 1988 году и объявлен устаревшим в 1996 году, он по-прежнему поддерживается во многих домашних маршрутизаторах и точках доступа. В результате сканирования сети, исследователям безопасности удалось выявить 53693 устройств, принимающих запросы по протоколу RIPv1 и пригодных для участия в DDoS. В зафиксированной DDoS атаке было задействовано около 500 устройств с поддержкой RIPv1, которых оказалось достаточно для создания волны трафика в 12.9 Гбит/с. В случае вовлечения атакующими большего числа устройств, возможна генерация значительно более внушительных потоков трафика.

RIPv1 позволяет добиться усиления трафика в 21 раз: на каждый отправленный от имени жертвы подставной запрос, размером 24 байта, можно добиться получения ответа, размером 504 байта. Для сравнения коэффициент усиления для NTP составляет 556 раз, DNS - 28-54, SNMPv2 - 6.3. Пользователям рекомендуется убедиться в отсутствии доступа к RIPv1 через WAN-интерфейс SOHO-маршрутизаторов и при необходимости ограничить доступ к UDP-порту 520.

  1. Главная ссылка к новости (https://blogs.akamai.com/2015/...)
  2. OpenNews: Волна DDoS-атак, использующих NTP-серверы для усиления трафика
  3. OpenNews: Зафиксирована DDoS-атака, в которую вовлечено 162 тысячи сайтов на базе WordPress
  4. OpenNews: DDoS-атака в 400 Гбит/с была совершена с привлечением всего 4529 NTP-серверов
  5. OpenNews: Оценка методов усиления трафика при организации DDoS-атак
  6. OpenNews: Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с (дополнено)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: rip, ddos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 00:07, 07/07/2015 [ответить] [смотреть все]
  • +12 +/
    Название протокола как бы намекает...
     
     
  • 2.4, Аноним, 03:33, 07/07/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +15 +/
    ...на уровень местных комментаторов. Этой бородатой шутке уже лет 30.
     
     
  • 3.15, Аноним, 12:07, 07/07/2015 [^] [ответить] [смотреть все]
  • +7 +/
    Хорошая шутка - временных границ не имеет :)
     
  • 3.24, анином, 17:09, 07/07/2015 [^] [ответить] [смотреть все]
  • +2 +/
    От повторения шутка становится только смешнее
     
  • 3.25, Аноним, 17:58, 07/07/2015 [^] [ответить] [смотреть все]
  • +2 +/
    А ещё за петросяном всегда следует комментарий идейного зануды Это к вопросу о ... весь текст скрыт [показать]
     
  • 1.2, Аноним, 01:03, 07/07/2015 [ответить] [смотреть все]  
  • +/
    Поясните несведующему То есть, мой маршрутизатор, в котором по-умолчанию запрещ... весь текст скрыт [показать]
     
     
  • 2.3, Аноним, 01:46, 07/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Поясняю вывешен ли RIPv1 на внешку - очень и очень зависит от производителя роу... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, Аноним, 03:52, 07/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Zyxel Keenetic


     
     
  • 4.6, Аноним, 03:56, 07/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Внешние сканеры портов пишут, что все судьбоносные порты закрыты Короче, пишу... весь текст скрыт [показать]
     
     
  • 5.7, Аноним, 04:16, 07/07/2015 [^] [ответить] [смотреть все]  
  • +4 +/
    Это они тебе пишут что "закрыты", а сами занесли тебя в базу и уже пользуют ;-D
     
     
  • 6.10, mootatn, 10:25, 07/07/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    кавычки неверно поставлены — следует писать "они"
     
  • 4.8, Аноним, 06:31, 07/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Zyxel Keenetic Start - закрыто.
     
  • 4.16, Аноним, 12:09, 07/07/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Там может и догадались закрыть, там все-таки иногда нос в фирмвару совали и отно... весь текст скрыт [показать]
     
  • 2.30, XoRe, 02:19, 09/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Конечно При условии что он был выпущен до 1996 года ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.35, count0krsk, 18:10, 10/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Хорошая шутка Роутеров до 2000го вообще было не густо в виду популярности dial... весь текст скрыт [показать]
     
  • 1.9, Evolve32, 07:50, 07/07/2015 [ответить] [смотреть все]  
  • +4 +/
    Круто, чо. Мало того что на ZTE ZXV10H108L можно по телнету зайти с login/pass root/root из одного сегмента сети, так с помощью него еще и ддосы устраивают.
     
     
  • 2.19, Аноним, 12:35, 07/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Причем, ЕМНИП, пароль на telnet хрен сменишь.
     
  • 1.11, Аноним, 10:34, 07/07/2015 [ответить] [смотреть все]  
  • +8 +/
    Никогда не брал и не возьму роутер, на который нельзя накатить OpenWRT :)
     
     
  • 2.12, имя., 10:41, 07/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –6 +/
    нам крайне важно было это знать, спасибо за инфу ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, _KUL, 11:00, 07/07/2015 [^] [ответить] [смотреть все]  
  • +4 +/
    И что самое ужасное - автор коммента прав Т к не первый раз уличают производит... весь текст скрыт [показать]
     
     
  • 4.28, all, 01:41, 09/07/2015 [^] [ответить] [смотреть все]  
  • +/
    главное с фряхой не купить
     
     
  • 5.31, XoRe, 02:19, 09/07/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    > главное с фряхой не купить

    Однако, pfSense неплох.
    Парадокс-с.

     
     
  • 6.34, Аноним, 22:20, 09/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Только не работает ни на одной мыльнице А пыльная гробина вместо мыльницы - оче... весь текст скрыт [показать]
     
  • 3.17, Аноним, 12:10, 07/07/2015 [^] [ответить] [смотреть все]  
  • +5 +/
    Ну так полезная инфа OpenWRT делается относительно разумными сетевиками и разра... весь текст скрыт [показать]
     
     
  • 4.27, slepnoga, 15:25, 08/07/2015 [^] [ответить] [смотреть все]  
  • +/
    >> нам крайне важно было это знать, спасибо за инфу!
    > Ну так полезная инфа. OpenWRT делается относительно разумными сетевиками и разработчиками.
    > А не той стаей укуренных обезьян, которые в *-линках и прочих
    > конторах с бодуна прошивки делают.

    Они не с бодуна - Муххамад сказал харам спиртное. А вот про траву он ничего не говорил ;)

     
  • 1.14, клоун, 11:14, 07/07/2015 [ответить] [смотреть все]  
  • +/
    DDOSить домашние маршутизаторы ботнетами...
     
     
  • 2.18, Аноним, 12:12, 07/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Спасибо, Капитан Наверное как-то так и делают - берется небольшой ботнет, натра... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, клоун, 13:22, 07/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Результатом DDOSа является не взлом, а отказ в обслуживании.
     
     
  • 4.29, all, 01:53, 09/07/2015 [^] [ответить] [смотреть все]  
  • +/
    > Результатом DDOS является

    бодун

     
  • 3.21, Аноним, 13:59, 07/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Сотни траффика однако.
     
  • 1.22, Аноним, 14:09, 07/07/2015 [ответить] [смотреть все]  
  • +/
    В контексте новости символичное название протокола RIP как раз к месту.
     
  • 1.23, crypt, 14:31, 07/07/2015 [ответить] [смотреть все]  
  • +/
    DDoS в доме престарелых...
     
  • 1.26, Аноним, 01:03, 08/07/2015 [ответить] [смотреть все]  
  • +/
    Интересно, а можно ли заддосить всю сеть в одном конкретно взятом городе?
     
     
  • 2.32, XoRe, 02:22, 09/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Интересно, а можно ли заддосить всю сеть в одном конкретно взятом городе?

    Можно. Если денег хватит. DDoS сейчас можно заказать у хакеров за денюжку.

     
     
  • 3.33, i_stas, 14:11, 09/07/2015 [^] [ответить] [смотреть все]  
  • +/
    дай контактоф. хочу затестить рабочие сервера.

    потом показать логи руководству и получить перед отпуском премию за отражение атаки хакеров.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor