Il protocollo BitTorrent permette di amplificare attacchi DoS

Il protocollo BitTorrent permette di amplificare attacchi DoS

Sfruttando alcune vulnerabilità del protocollo BitTorrent, un singolo utente può avviare un attacco DoS che viene poi amplificato fino a 120 volte da altri nodi della rete

di pubblicata il , alle 10:32 nel canale Sicurezza
 

Un gruppo di ricercatori di sicurezza ha individuato una vulnerabilità del protocollo BitTorrent che riguarda in particolare alcuni dei client maggiormente usati, come µTorrent, Mainline e Vuze, e che permette di compiere una nuova forma di attacco DDoS che può essere innescato anche da una singola persona e risultare ugualmente in una potenza di fuoco particolarmente pericolosa ed efficace.

L'attacco, che prende il nome di Distributed Reflective DoS - DRDoS, permette ad un attaccante di inviare una richiesta opportunamente edulcorata ad altri client BitTorrent i quali, in risposta, inondano un bersaglio terzo con dati che sono dalle 50 alle 120 volte più grandi della richiesta originaria. Ciò che rende possibile l'attacco è l'uso del protocollo UDP da parte di BitTorrent, che non offre alcun meccanismo per prevenire ed evitare la falsificazione di indirizzi IP e lascia quindi la possibilità, nella richiesta confezionata ad arte, di sostituire l'IP dell'attaccante con quello della vittima designata.

"Un attaccante che avvia un DRDoS non invia alcun traffico direttamente alla vittima. Lo manda invece ad 'amplificatori' che lo riflettono verso la vittima. L'attaccante può fare ciò sfruttando le vulnerabilità all'IP spoofing dei protocolli di rete. Un DRDoS ha come risultato un attacco distribuito che può essere innescato da una o più parti" si legge nella ricerca. Questa tipologia di attacco ha tre vantaggi per l'attaccante: nasconde la sua identità, può essere avviato da un singolo computer ma risultare a tutti gli effetti un attacco distribuito e amplifica il pacchetto originario, in alcuni casi fino a 120 volte.

Le tecniche di amplificazione di attacchi DoS non sono nulla di nuovo: gli smurf-attack e gli attacchi di amplificazione DNS si basano su cattive configurazioni, rispettivamente, di router e di server DNS per rimbalzare traffico e amplificare sensibilmente la potenza di fuoco verso un bersaglio. Negli ultimi anni il numero di server mal configurati si è ridotto e questo genere di attacchi risulta essere meno comune, pur mantenendo la loro pericolosità

Gli attacchi DoS amplificati sono più efficaci quando riescono a sfruttare applicazioni largamente utilizzate o servizi vulnerabili in origine: i ricercatori che hanno descritto la tecnica DRDoS hanno osservato, a seguito di uno scan della rete, circa 2,1 milioni di indirizzi IP che fanno uso di BitTorrent. E' auspicabile l'aggiunta di alcune contromisure al protocollo BitTorrent che evitino la possibilità di sfruttare tecniche di IP spoofing e che prevengano l'amplificazione della quantità di dati che le app BitTorrent inviano in risposta ad una richiesta.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
TheQ.17 Agosto 2015, 12:31 #1
P2DDOS
gerko18 Agosto 2015, 02:37 #2
Saranno le due di notte, ma non ho capito cosa comporta questo attacco. Solo un grande traffico dati?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^