پروتکلی که تقویت‌کننده حملات DDoS شد!

حملات DDoS به‌طور معمول بر پایه بات‌نت‌های فراوان و از طریق منابع متفاوتی به مرحله اجرا در می‌آیند. این مدل حملات باعث به وجود آمدن حجم گسترده‌ای از ترافیک می‌شوند. اما هکرها برای آن‌که بر شدت حملات خود بیفزایند از دستگاه‌های میانی تقویت کننده (amplifiers) برای تقویت ترافیک تخریبی استفاده می‌کنند. اما نکته مهمی که پژوهش‌گران دانشگاه ادینبورگ کشف کرده‌اند این است که TFTP این توانایی را دارد تا به عنوان یک عامل تقویت کننده تقریبا 60 برابری مورد استفاده قرار گیرد. به‌طوری که در مقایسه با روش‌های موجود از نرخ بالاتری بهره می‌برد.

مطلب پیشنهادی

راه‌کار جدید در دنیای محاسبات

تولید اعداد تصادفی که واقعا تصادفی هستند!

ریچارد مک فارلین، بوریس سیکلیک و ویلیام ج بوکانن، محققان این دانشگاه، در مقاله خود عنوان کرده‌اند که این روش تقویتی ممکن است تبدیل به یک مخاطره جهانی شود. به دلیل این‌که پروتکل TFTP تقریبا توسط 599600 سرور باز TFTP مورد استفاده قرار می‌گیرد. در حالی که این محققان از سال 2014 سرگرم تحقیق در خصوص این مشکل امنیتی بودند، اما مقاله آن‌ها ماه مارس در مجله computer & science به چاپ رسید و اکنون سرتیتر اخبار سایت‌های مختلف شده است. البته لازم به توضیح است که این سه پژوهش‌گر اولین کارشناسان امنیتی نیستند که نشان دادند سرورهای TFTP این پتانسیل را دارند تا به عنوان تقویت کننده حملات DDoS مورد استفاده قرار گیرند. در سال 2013 نیز جیسون شولتز، مهندس بخش تحقیقات و تهدیدات سیسکو، این چنین پیشامدی را پیش‌بینی کرده بود. او در آن زمان گفته بود: «تشدید قدرت حمله DDoS با استفاده از پروتکل TFTP روش بهینه‌سازی شده‌ای برای حمله نیست، اما اگر به تعداد کافی، سرورهای عمومی TFTP در دسترس باشند این حمله به شیوه موثرتری می‌تواند پیاده‌سازی شود.»

تیم واکنش هوش امنیتی شرکت آکامای (Security Intelligence Response Team) موفق به کشف ده حمله بر مبنای اهرم TFTP شد. حملاتی که از تاریخ 20 آوریل آغاز شده و مشتریان شرکت‌ را تحت‌الشعاع خود قرار داده‌اند. جوز آرتیگا از کارمندان شرکت آکامای در این ارتباط اعلام کرده است: «اسکرپیت حمله کننده TFTP فعالیت خود را از ماه مارس آغاز کرده است. به نظر می‌رسد این حمله همزمان با انتشار تحقیقات در مورد این شیوه حمله در رسانه‌های جمعی صورت گرفته است. » آن‌گونه که آرتیگا گفته است، بیشتر این حملات چند برداری بوده و ردپایی از تکنیک انعکاسی TFTP در آن‌ها به چشم می‌خورد. تحلیل‌ها نشان می‌دهند که حداقل یک سایت حملات DDoS را در غالب یک سرویس یکپارچه انتقال داده است.

در شرایطی که این سبک از حمله، نرخ بسته آن‌چنان بالایی را تولید نمی‌کند، اما در مقابل حجم بسته‌های تولید شده به اندازه کافی زیاد هستند تا پهنای باند سایت‌ها را مورد هدف قرار دهند. گزارش این محققان نشان می‌دهد که این ابزار حمله از کد یکسانی همسو با دیگر ابزارهای انعکاسی پایه UDP استفاده کرده و خط فرمان مشابهی نیز دارد. تحلیل‌ها نشان می‌دهند که این چنین حمله‌ای پهنای باندی به میزان حداکثر 1.2 گیگابیت در ثانیه برابر با 176.4 هزار بسته در ثانیه تولید می‌کند.

این بردار حمله انعکاس TFTP از پورت 69 به عنوان پورت منبع استفاده می‌کند. اما این احتمال وجود دارد که حملات پورت خاصی را هدف قرار نداده و پورت‌ها را به صورت تصادفی انتخاب کنند. با این وجود دامنه تاکتیکی این حمله محدود است، به دلیل این‌که TFTP به گونه‌ای طراحی شده است تا فایل‌ها و به ویژه فایل‌های پیکربندی شده را برای تعداد محدودی از میزبان‌ها آن هم در زمان مشخصی ارسال کند. در نتیجه این احتمال وجود دارد که سرورهای TFTP این توانایی را نداشته باشند تا حجم زیادی از درخواست‌هایی که توسط ابزارهای بردار حمله TFTP ارسال می‌شوند را انتقال دهند. در بخشی دیگری از مقاله منتشر شده توسط این پژوهش‌گران آمده است که TFTP تنها قادر به تولید نرخ 1.2 گیگابیت است، اما در حملات چند برداری که حمله TFTP یکی از بردارهای آن‌ها به شمار می‌رود، این میزان به عدد 44 گیگابیت در ثانیه‌ می‌رسد. منابع جمع‌آوری شده در ارتباط با حملات انعکاسی TFTP نشان از آن دارند که مراحل اولیه حمله توزیع شده ضعیف بوده است. منشا بخش عمده‌ای از این منابع آسیایی بوده است اما در ادامه این حملات از منابع اروپایی نیز استفاده کرده‌اند. کارشناسان امنیتی به مدیران سرورهایی که پروتکل TFTP را میزبان می‌کنند، توصیه کرده‌اند، پورت شماره 69 که برای اتصال به اینترنت مورد استفاده قرار می‌گیرد را مورد ارزیابی قرار دهند. این پورت باید به یک دیوار آتش تجهیز شده و تنها به منابع ورودی معتبر اجازه ورود دهند. ضروری است مدیران از ابزارهای شناسایی سوء استفاده از سرورهای TFTP در یک شبکه استفاده کنند.