Protocolli di rete obsoleti abusati in attacchi DDoS

I protocolli di rete obsoleti ancora utilizzati da quasi tutti i dispositivi connessi a Internet vengono violati dagli hacker per condurre attacchi DDoS (Distributed Denial of Service).

Fornitore di sicurezza Prolexic ha scoperto che gli aggressori utilizzano sempre più protocolli per i termini "attacchi di negazione del servizio di riflessione distribuita" (DrDos), in cui un dispositivo viene ingannato per inviare un volume elevato di traffico alla rete della vittima.

"Gli attacchi di riflessione del protocollo DrDos sono possibili a causa dell'intrinseco progetto dell'architettura originale ", ha scritto Prolexic in un white paper. "Quando questi protocolli sono stati sviluppati, la funzionalità era l'obiettivo principale, non la sicurezza."

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Le organizzazioni governative, le banche e le aziende sono prese di mira dagli attacchi DDoS per una varietà di ragioni. Gli hacker a volte usano gli attacchi DDoS per distogliere l'attenzione da altri furti o perturbare un'organizzazione per ragioni politiche o filosofiche.

Uno dei protocolli mirati, noto come Network Time Protocol (NTP), viene utilizzato in tutti i principali sistemi operativi, infrastruttura di rete e dispositivi embedded, ha scritto Prolexic. È usato per sincronizzare gli orologi tra computer e server.

Un hacker può lanciare attacchi contro NTP inviando molte richieste di aggiornamenti. Spogliando l'origine delle richieste, le risposte NTP possono essere indirizzate a un host della vittima.

Sembra che gli aggressori stiano abusando di una funzione di monitoraggio nel protocollo chiamato NTP mode 7 (monlist). L'industria del gioco è stata presa di mira da questo tipo di attacco, ha detto Prolexic.

Altri dispositivi di rete, come stampanti, router, videocamere IP e una varietà di altri dispositivi connessi a Internet utilizzano un protocollo a livello di applicazione chiamato Simple Network Management Protocol (SNMP).

SNMP comunica i dati sui componenti del dispositivo, ha scritto Prolexic, come misurazioni o letture del sensore. I dispositivi SNMP restituiscono tre volte più dati di quando vengono pingati, rendendoli un modo efficace per attaccare. Ancora una volta, un utente malintenzionato invierà una richiesta IP falsificata a un host SNMP, indirizzando la risposta a una vittima.

Prolexic ha scritto che esistono numerosi modi per mitigare un attacco. Il miglior consiglio è di disabilitare SNMP se non è necessario.

Il team di preparazione alle emergenze informatiche degli Stati Uniti ha avvertito gli amministratori nel 1996 di un potenziale scenario di attacco che coinvolge un altro protocollo, il Character Generator Protocol o CHARGEN.

Viene usato come strumento di debug poiché invia i dati indietro indipendentemente dall'input. Ma Prolexic ha scritto che "potrebbe consentire agli aggressori di creare payload della rete dannosi e rifletterli spoofando la fonte di trasmissione per indirizzarla efficacemente verso un obiettivo. Ciò può causare loop di traffico e degrado del servizio con grandi quantità di traffico di rete. "

CERT consigliato in quel momento per disabilitare qualsiasi servizio UDP (User Datagram Protocol) come CHARGEN se non è necessario.