Обнаружен новый способ проведения DDoS-атак с помощью протокола UPnP
Новости
Представители компании Imperva утверждают, что технологию UPnProxy можно использовать для проведения DDoS-атак. С ее помощью злоумышленник будет способен замаскировать исходный порт DDoS-атаки.
979 открытий982 показов
Исследователи из компании Imperva обнаружили новый способ проведения DDoS-атак с использованием протокола UPnP. По словам представителей организации, они наблюдали как минимум 2 DDoS-атаки с помощью данного метода.
Использование UPnP в DDoS-атаках
В основе найденного метода лежит UPnP — протокол, предназначенный для обнаружения соседних устройств в локальной сети и перенаправления в нее соединений из Интернета. При этом он позволяет обходить механизм NAT и дает сетевым администраторам удаленный доступ к службам, которые по умолчанию доступны только во внутренней сети. Проблема, по словам Imperva, заключается в том, что несколько маршрутизаторов пытаются идентифицировать, действительно ли представленный внутренний IP-адрес является таковым.
Данный механизм, названный UPnProxy, в апреле 2018 года описали специалисты компании Akamai. С его помощью операторы ботнетов и кибершпионские группировки массово использовали маршрутизаторы в качестве прокси-серверов и перенаправляли вредоносный трафик.
Однако Imperva заявляет, что UPnProxy можно использовать и для проведения DDoS-атак. По их словам, злоумышленник может редактировать таблицу сопоставления портов уязвимых маршрутизаторов. В дальнейшем с их помощью он будет способен замаскировать исходный порт DDoS-атаки:
Защита от DDoS-атаки с замаскированными исходными портами
Исследователи из Imperva воспроизвели одну из двух обнаруженных DDoS-атак. Используя PoC-код, они искали маршрутизаторы, которые открывали файл rootDesc.xml, содержащий конфигурацию сопоставления портов. Отредактировав настройку, им удавалось начать усиленный широковещательный шторм.
Для защиты от такого типа DDoS-атак компания советует отключать поддержку протокола UPnP, если он не используется.
Способы для проведения DDoS-атак постоянно совершенствуются. Напомним, что в конце февраля 2018 года была зафиксирована первая «нативная» DDoS-атака по протоколу IPv6.
979 открытий982 показов