Статьи компании

9.7
DDoS-Guard.net

19.07.2018

Легкий START с DDoS-GUARD

Новый хостинг всего за 50 рублей в месяц
Читать далее
18.04.2018

Заблокировали хостинг-провайдера? Переходи на DDoS-GUARD

Блокировки Роскомнадзора поставили в трудное положение всех, кто пользовался услугами зарубежных провайдеров Amazon и OVH. 
Читать далее
13.03.2018

Яндекс и Google стали еще ближе для клиентов DDoS-GUARD

Провайдер организовал прямые подключения к сетям ключевых контент-генераторов - Яндекса и Google.
Читать далее
13.02.2018

Геораспределенный DNS-хостинг с защитой DDoS-GUARD бесплатно

Вы знаете, на чьих серверах хранятся доменные имена ваших веб-ресурсов?А сколько времени им требуется для  резолвинга вашего сайта? Защищены ли они от DDoS-атак?
Читать далее
23.01.2018

Запущен новый узел фильтрации сети DDoS-GUARD в Азии

Провайдер услуг защиты от DDoS-атак успешно запустил в эксплуатацию новый узел фильтрации трафика в Азии, который улучшит связанность сети в регионе
Читать далее

Скидка 50% к 23 февраля!

Период действия акции *: до 25.02.2018
DDoS-GUARD поздравляет с наступающим Днем защитника Отечества. Каждому из нас есть, что оберегать. И чтобы помочь вам уберечь свои проекты от DDoS-атак, мы дарим скидку 50% на первый платеж!
Читать далее

SSL-сертификат бесплатно!

Период действия акции *: бессрочно
Теперь фильтрация HTTPS-трафика ВКЛЮЧЕНА в стоимость тарифного плана Normal. Клиент может использовать как бесплатный Let's Encrypt, так и установить любой свой сертификат. 
Читать далее

Скидка 50% на первую оплату

Период действия акции *: до 28 февраля 
Чтобы получить скидку, укажите при оплате промокод CHINESENEWYEAR2018 и сумма уменьшится автоматически.
Читать далее

Новогодняя акция - хостинг, VDS, аренда серверов и защита от DDoS-атак со скидкой 50%!

Период действия акции *: до 31.01.2018
Профессиональный сервис за полцены - только до конца января
Читать далее

Подарок от DDoS-GUARD на День холостяков!

Период действия акции *: до 11 декабря 2017
Скидка новым клиентам!
Читать далее

Удар из прошлого: DdoS-атака RIPv1, или чем опасны старые роутеры

Рубрика: Безопасность
Опубликовано: 27.07.2015.
Атаки, использующие устаревший протокол маршрутизации RIPv1, снова были замечены с 16 мая 2015 года, после более чем годичного забвения. Их зафиксировала первой компания Akamai, а через пару дней — и DDoS-GUARD. 

RIPv1 впервые был представлен в «историческом» RFC1045 (оригинальная спецификация больше не поддерживается). Протокол поддерживает только классовую маршрутизацию. Таким образом, если сеть, анонсируемая по RIPv1, относится к классу «A» (например, 10.1.2.0/24), то реально отправляемый анонс будет выглядеть, как 10.0.0.0/8. Это, среди прочего, значительно ограничивает применение RIPv1 внутренними сетями, он малопригоден для Интернета.

Основные характеристики рассматриваемой атаки

• объем трафика: до 12,8 Гбит
• пакетов в секунду: до 3,2 млн
• вектор атаки: амплификация RIPv1
• исходящий порт: UDP:520
• входящий порт: случайный

image

Протокол RIPv1 (Routing Information Protocol, версия 1) существует уже много лет и считается быстрым и легким способом обмена информацией о маршрутах в небольшой сети с несколькими маршрутизаторами.

Маршрутизатор, поддерживающий RIP, отправляет запрос при первоначальной настройке либо при включении питания. Любое другое устройство, принимающее такие запросы, ответит списком маршрутов. Обновления таблицы маршрутов периодически рассылаются широковещательно (broadcast).

Чтобы изменить поведение RIPv1 для проведения DdoS-атаки, злоумышленник может отправить такой же запрос, подменив исходящий IP адресом объекта атаки. Адресаты выбираются по заранее подготовленному списку маршрутизаторов с поддержкой RIPv1, которые имеют подозрительно большое количество маршрутов в таблицах.

В результате одиночного запроса генерируется большое количество пакетов с 504-байтовой нагрузкой, отправляемых на атакуемый адрес. На один запрос может отправляться несколько ответов по причине ограничения в 25 маршрутов на один RIP-пакет.

На нижеприведенном листинге RIP-ответы взяты из реальной атаки. Со стороны атакуемого видны только ответы на запросы RIPv1, которые он, разумеется, не делал.

Примеры нагрузки

Типичный запрос RIPv1 содержит 24 байта. Приведенный ответ содержит 504 байта. Данный конкретный маршрутизатор отвечает десятью ответами по 504 байта и одним в 164 байта.

image

При вычислении коэффициента усиления по вышеприведенным запросам, учитывая заголовки Ipv4 [IP(IP (10)UDP10) UDP(8)], окончательное усиление для одиночного запроса RIPv1 составляет 131,24 (более 13 000%). Коэффициент будет меняться в зависимости от количества маршрутов в таблице роутера. Во время первой атаки, большая часть роутеров отвечала множественными 504-байтовыми ответами на каждый запрос.

Поверхностное сканирование источников атаки позволяет предположить, что жертвы, использованные для создания шторма RIP-ответов, пользовались примитивными маршрутизаторами (класса SOHO). Реализованный на них RIPv1 работает в соответствии со спецификацией, злоумышленники просто используют его особенности в своих целях.

image

«Отравление» RIPv1

Может ли злоумышленник дополнительно повысить коэффициент усиления, заставив маршрутизатор узнать новые маршруты? Идея кажется реализуемой. НО есть три основных фактора, мешающих эффективному использованию такого сценария в DdoS-атаках.

Первый фактор — «расщепление горизонта», используемое по умолчанию на некоторых устройствах, поддерживающих RIPv1. Попросту говоря, маршрутизатор, получающий обновление маршрутов, не отправит его обратно через тот же интерфейс, через который получил. Это означает, что устройство, подключенное к интернету, не будет отправлять объекту атаки ложные маршруты. Однако, он будет обновлять эти маршруты, когда они устареют до 16-й метрики.

Отсюда вытекает другой подавляющий фактор. Таблицы маршрутов часто очищаются, и слишком старые маршруты не будут сохраняться долго. С их устареванием будет требоваться очередное обновление, чтобы маршрутизатор их сохранил. К примеру, в устройствах Cisco, маршруты, поступившие с инъекцией, не покажутся, пока не станут неиспользуемыми (метрика 16) и сохранятся лишь 1 минуту после того, как будут помечены неиспользуемыми, после чего будут стерты из таблицы маршрутов. 

Таким образом, потребуются непрерывные регулярные обновления, чтоб поддерживать «отравление» таблиц. Потребность в повторяющихся инъекциях приводит к падению коэффициента усиления, поскольку вместо одиночного 24-байтового запроса придется отправлять множественные анонсы до 504 байт каждый (в зависимости от числа маршрутов в инъекции), чтобы поддерживать таблицы маршрутов в нужном злоумышленнику состоянии.

Третья проблема заключается в том, что ответы RIPv1, приходящие из сетей, не связанных с маршрутизатором напрямую, будут проигнорированы. Значит, адрес источника обновлений должен быть подделан так, чтобы попадать в сеть, непосредственно связанную с «отравляемым» маршрутизатором, чтобы обновление было хотя бы просто принято.

Все это вместе делает попытки отравления таблиц маршрутов RIPv1 невыгодными и непривлекательными для злоумышленника.

При наличии локального доступа к устройству (маршрутизатору), маршрутами можно манипулировать в пределах возможностей самого устройства. Такой сценарий возможен в случае, когда управление марштуризатором доступно с учетными данными по умолчанию либо вообще без удостоверения пользователя. Такие недочеты в конфигурировании маршрутизаторов встречаются чаще, чем хотелось бы.

Рассматриваемая атака

Атака 16 мая 2015 года, с пиковой нагрузкой 12,81Гбит и 3,2 млн пакетов в секунду. В нижеприведённой таблице нагрузки, разбитой по географическому расположению источников трафика, видно, что наибольший трафик пришёл из Европы. Лондон и Франкфурт зафиксировали, в сумме, до 4,75Гбит.

image

Результаты сканирования RIPv1 в интернете

По данным Akamai, в общей сложности на запросы RIPv1 в интернете откликнулось 53 693 устройства. Хотя многие из них непригодны в качестве усилителей DdoS, они все равно уязвимы для отражения и других атак, по причине низкой защищенности протокола. Вообще, было идентифицировано около 500 уникальных источников, посылавших 504-байтовые ответы.

Большинство из 53 693 возможных источников отвечают единственным маршрутом — что делает их обычными «отражателями», без дополнительного усиления.

Рассматривая размеры ответов RIPv1, полученных в интернете, видно достаточно большое количество устройств, обеспечивающих хотя бы небольшой коэффициент усиления. Удалось идентифицировать 24 212 устройств, обеспечивающих усиление не менее 83%. В таблице ниже приведены 5 наиболее распространенных длин пакетов, полученных при тестировании.

image

Другая интересная находка — в том, что обнаруженные реализации RIPv1 при получении неправильно структурированного запроса отвечают сообщением, в котором не содержится реальная информация об их таблицах маршрутизации. Хотя это и нивелирует усиление, низводя атаку до простого отражения, такой эффект можно использовать для маскировки подлинного источника вредоносного трафика.

image

Выявленные адреса были рассортированы для определения моделей устройств. Из 53 693 устройств, откликнувшихся на запрос, более 20 000 так же слушали порт TCP:80 (зачастую используемый веб-интерфейсом администратора). Была предпринята попытка извлечь и записать результаты запросов в поисках утечки информации о моделях (запросы аутентификации, заголовки HTTP, номера моделей на начальных страницах и т. п.). Ниже представлены три наиболее распространенных устройства (среди обнаруженных), поддерживающих RIPv1. Устройства Netopia, вероятно, старое оборудование, получившее распространение во времена бума ADSL.

image

Следующий рисунок показывает распределение по провайдерам (на основе ответов whois) адресов обнаруженных устройств Netopia. Большинство из них используется клиентами AT&T.

image

Большинство из устройств географически находятся в США, как показано на следующем рисунке. Как упоминалось выше, источники вредоносного трафика, зафиксированные при недавних атаках, в основном находились в Европе. Это означает, что существует значительный потенциальный (пока незадействованный) ресурс, который может быть использован для атак с усилением и отражением.

image

Распределение источников трафика по странам показано на следующем рисунке. Объединяет их то, что каждый из них в ответ на запрос сообщает необычно большое количество маршрутов.

image

Рекомендуемые меры защиты

Для жертв таких атак, например, источников «отраженного» трафика, существует несколько путей защиты от данного метода.
Переход на RIPv2 или более поздний, с использованием аутентификации.
Если необходим RIPv1, пересмотреть необходимость в поддержке RIPv1 на внешних интерфейсах. Если там он не нужен, пометить внешние интерфейсы как пассивные для RIPv1 (где такая функция поддерживается).
Доступ к RIP можно так же ограничить при помощи ACL, разрешив доступ только известным маршрутизаторам.

Объекты атаки отраженным трафиком RIPv1 могут использовать ACL для запрета трафика с исходящего порта UDP:520 в интернете. Если атака слишком мощная, то могут потребоваться услуги провайдера защиты от DdoS.

Выводы

Список возможных векторов атаки немал, и некоторые контролировать сложнее прочих в виду их повсеместного распространения (например, DNS, SSDP). Как уже было сказано, у RIPv1 есть определенные возможности оставаться привлекательным ресурсом для организации DDoS-атак. Большинство источников этого ресурса — устаревшие маршрутизаторы, годами работающие в жилых домах или домашних офисах.

Большое количество устройств Netopia хорошо это иллюстрирует. Провайдеры не будут заменять ранее установленное оборудование, если оно исправно выполняет свои функции. Если не возникает проблем — зачем что-то менять? 

Таким образом, в строю остаются устройства, поддерживающие устаревшие протоколы и содержащие известные уязвимости в программном обеспечении. На эту ситуацию наибольшее влияние будут оказывать провайдеры. Прежде всего, следует закрывать порт UDP:520 со стороны интернет. Это значительно уменьшит возможность реализации описанных DDoS-атак. Другой вариант, более дорогостоящий, заключается в организации апгрейда клиентского оборудования, его замены на новые маршрутизаторы (с корректными конфигурациями); это будет особенно актуально для устройств, которые больше не поддерживаются производителями.

Адаптированный перевод подготвлен техническими специалистами компании DDoS-GUARD
Все статьи компании
Читальный зал

Добавить комментарий

Комментарии могут оставлять только авторизованные пользователи.
Авторизоваться   Зарегистрироваться

Макс Новый 14:54 28.07.2015

Очень содержательно, спасибо за хороший перевод!

Петр Паламарчук 11:16 30.07.2015

Жаль, что иллюстрации в статью грузятся со стороннего ресурса и делают статью нечитабельной при проблемах на том стороннем ресурсе :)

Ольга Бревде 17:57 30.07.2015

Спасибо, Петр, учтем это при следующих публикациях!

Системный администратор DevOps

Вид: В офисе
Страна: Россия
Город: Ростов-на-Дону
Зарплата *: по договоренности
Описание *:
Должностные обязанности:

Запуск и мониторинг новых сервисов, масштабирование уже существующих.
Участие в backend-разработке со стороны системного администрирования.
Проектирование высоконагруженных систем.
Работа с сетевой инфраструктурой.
Эффективное взаимодействие с командой разработчиков.

Требования:

Опыт работы с Linux.
Знание систем виртуализаций (VMware или KVM).
Опыт администрирования и автоматизирования Linux сред.
Глубокие технические знания общих принципов работы операционных систем.
Владение скриптовыми языками Bash, Perl.
Знание аппаратных сред, аппаратных вычислительных ресурсов, систем хранения данных.
Понимание взаимодействия между HW, операционной системой и приложениями в Linux.
Понимание работы сетевых протоколов TCP/IP и HTTP/HTTPS.
Опыт администрирования PostgreSQL, MySQL, Apache, Postfix, Dovecot, Proftpd, PHP, Nginx, DNS, Squid/Varnish, MongoDB, Redis.

Большим плюсом будет:

Навыки программирования на Python и LuaОпыт работы с сетями, оборудованием Juniper или других производителей.
Владение навыками настройки JIRA.


Условия работы:

Комфортный офис в центре города.
Оформление по ТК РФ, белая заработная плата со стабильными выплатами и полным социальным пакетом.
Возможность заграничных командировок.
ДМС (оплачиваемая компанией медицинская страховка).
Регулярные чемпионаты в Mortal Kombat, FIFA и т.д., проходящие в нашей оборудованной игровой комнате.

Режим работы с 10:00 до 19:00 в офисе, где на кухне всегда лежит много вкусняшек. Мы работаем много и упорно, но не загоняем себя в рамки традиционного рабочего расписания. Мы позволяем себе отдыхать не только в офисе, но и на выезде всей компанией в красивое место.Вознаграждение в большей степени зависит от Ваших амбиций и трудоспособности.

Наверх
Сообщить об ошибке
Описание ошибки: