Protokol jaringan penuaan disalahgunakan dalam serangan DDoS

Protokol jaringan penuaan yang masih digunakan oleh hampir setiap perangkat yang terhubung dengan Internet disalahgunakan oleh peretas untuk melakukan serangan penolakan-of-service (DDoS) terdistribusi.

Vendor keamanan Prolexic menemukan bahwa penyerang semakin sering menggunakan protokol untuk apa istilahnya "didistribusikan refleksi penolakan-of-service serangan" (DrDos), di mana perangkat tertipu mengirim volume tinggi lalu lintas ke jaringan korban.

"DrDos protokol refleksi serangan dimungkinkan karena melekat desain arsitektur asli, ”tulis Prolexic di kertas putih. “Ketika protokol ini dikembangkan, fungsionalitas adalah fokus utama, bukan keamanan.”

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Organisasi pemerintah, bank dan perusahaan ditargetkan oleh serangan DDoS untuk variasi alasan. Peretas terkadang menggunakan serangan DDoS untuk menarik perhatian dari kenakalan lain atau ingin mengacaukan organisasi karena alasan politik atau filosofis.

Salah satu protokol yang ditargetkan, dikenal sebagai Network Time Protocol (NTP), digunakan di semua sistem operasi utama, infrastruktur jaringan dan perangkat yang disematkan, tulis Prolexic. Ini digunakan untuk menyinkronkan jam di antara komputer dan server.

Seorang hacker dapat meluncurkan serangan terhadap NTP dengan mengirim banyak permintaan pembaruan. Dengan spoofing asal permintaan, respon NTP dapat diarahkan pada host korban.

Tampaknya penyerang menyalahgunakan fungsi pemantauan dalam protokol yang disebut NTP mode 7 (monlist). Industri game telah ditargetkan oleh gaya serangan ini, kata Prolexic.

Perangkat jaringan lain, seperti printer, router, kamera video IP dan berbagai peralatan yang terhubung ke Internet lainnya menggunakan protokol lapisan aplikasi yang disebut Simple Network Management Protocol. (SNMP).

SNMP mengkomunikasikan data tentang komponen perangkat, Prolexic menulis, seperti pengukuran atau pembacaan sensor. Perangkat SNMP mengembalikan tiga kali lebih banyak data ketika mereka melakukan ping, menjadikannya cara yang efektif untuk menyerang. Sekali lagi, seorang penyerang akan mengirim permintaan IP palsu ke host SNMP, mengarahkan respon ke korban.

Prolexic menulis ada banyak cara untuk mengurangi serangan. Saran terbaik adalah untuk menonaktifkan SNMP jika tidak diperlukan.

Tim Kesiapan Darurat Komputer AS memperingatkan administrator pada tahun 1996 tentang skenario serangan potensial yang melibatkan protokol lain, Character Generator Protocol, atau CHARGEN.

Ini digunakan sebagai alat debugging karena mengirim kembali data tanpa memperhatikan input. Tapi Prolexic menulis bahwa itu "memungkinkan penyerang untuk membuat muatan jaringan berbahaya dan memantulkannya dengan spoofing sumber transmisi untuk secara efektif mengarahkannya ke target. Ini dapat menyebabkan kemacetan lalu lintas dan degradasi layanan dengan sejumlah besar lalu lintas jaringan. ”

CERT merekomendasikan pada saat itu untuk menonaktifkan layanan UDP (User Datagram Protocol) seperti CHARGEN jika tidak diperlukan.