P2P網(wǎng)絡(luò)軟件設(shè)計缺陷助陣拒絕服務(wù)攻擊

字號:

現(xiàn)有的P2P網(wǎng)絡(luò)軟件設(shè)計缺陷使得攻擊者可以輕松的發(fā)起龐大的拒絕服務(wù)攻擊,從而輕易使得互聯(lián)網(wǎng)網(wǎng)站崩潰。
    根據(jù)安全公司Prolexic Technologies的數(shù)據(jù),在過去的三個月中,超過40個公司承受了成百上千個網(wǎng)絡(luò)協(xié)議地址(IPs)的攻擊,其中很多攻擊都在每秒中產(chǎn)生了多于1GB的垃圾數(shù)據(jù)。該公司的首席科學(xué)家Paul Sop稱,大量的網(wǎng)絡(luò)地址使得那些基于諸如黑名單方式的路由器和防火墻失去了有效的防護(hù)能力。
    “問題在于你能夠用多快的速度來把”水“從”船“中舀出去”,Paul Sop說,“如果你有某一分鐘停了下來,那么你就會沉沒”。
    經(jīng)典的DOS攻擊一般通過數(shù)千個協(xié)作的電腦來發(fā)送數(shù)據(jù)包,從而使得網(wǎng)站服務(wù)崩潰,而最新的這種攻擊方式由一些運行著一個叫做DC++的P2P軟件的電腦發(fā)起。這種軟件基于一種名為Direct Connect的協(xié)議,從而使得文件可以在多個客戶端之間進(jìn)行直接的交換。
    根據(jù)一名從Sweden's Lund Institute of Technology 獲取了學(xué)士學(xué)位的DC++工程開發(fā)人員Fredrik Ullner的說法,“當(dāng)文件共享網(wǎng)絡(luò)發(fā)布時,用來尋找某個特定文件的目錄被記錄在某些被稱為hubs的少數(shù)服務(wù)器上。較早版本的hub服務(wù)器軟件存在一個漏洞,從而使得人們能夠直接從另外一個服務(wù)器上獲取信息。因此,攻擊者可以控制他們的hub服務(wù)器,將大量的客戶數(shù)據(jù)請求”轉(zhuǎn)接“到受害者的網(wǎng)絡(luò)服務(wù)器上。由于用戶數(shù)目龐大,受害者的網(wǎng)絡(luò)服務(wù)器很快就會崩潰。”
    “這種針對DC++擁有者和中心目錄的攻擊最早從2005年開始。最先的攻擊瞄準(zhǔn)了DC++核心的hubs服務(wù)器目錄:Hublist.org.惡意的DC++用戶最初開發(fā)了一種對單個hub進(jìn)行洪水攻擊的工具。而當(dāng)Hublist.org將這些惡意用戶的服務(wù)器移除了之后,他們就對Hublist.org進(jìn)行了這類攻擊。”Ullner說。不僅僅是Hublist.org,還有DC++的主要項目網(wǎng)站DCPP.net,都在攻擊下無法訪問,從而迫使開發(fā)者遷移到了SourceForge.
    “很不幸的是,這類攻擊正在變得越來越普遍,”Ullner在SecurityFocus的一封公開郵件中提到。事實上,這項新的攻擊技術(shù)是如此的有效,從而使得攻擊者將他們的目標(biāo)轉(zhuǎn)向了其他的公司。
    在三月份,很多的公司開始向Prolexic求助,希望能夠避免這些極具破壞性的拒絕服務(wù)攻擊。而在這些攻擊中,超過150,000臺電腦會打開多個連接,從而使得網(wǎng)站服務(wù)器被雪崩式的網(wǎng)絡(luò)數(shù)據(jù)所埋葬?!氨挥涗浀囊淮喂羯婕暗匠^300,000臺電腦?!?Prolexic公司的Sop說。
    “我們有數(shù)百萬個連接同時接入,”Sop說,“我們可以很容易的辨別出這種攻擊,但是由新IPs所發(fā)起連接的增長速度超出了我們的處理能力”。
    “很多攻擊是勒索行為的一部分。因為可以很簡單將拒絕服務(wù)攻擊轉(zhuǎn)化成現(xiàn)金。而大約有四分之三的攻擊是由商業(yè)間諜發(fā)動的?!盨op說。
    “這類攻擊攻擊所涉及到的金錢數(shù)目巨大,”Sop說,“如果你在歐洲有著一個互聯(lián)網(wǎng)公司,并且能夠通過這類攻擊解決掉你的競爭對手,那么為什么還把錢花在市場擴(kuò)展上?”
    好消息是,Prolexic已經(jīng)在周三宣稱,他們已經(jīng)找到了技術(shù)上的解決方案。
    壞消息是,盡管在技術(shù)上已經(jīng)能夠很好的修補DC++ hub軟件上的漏洞,但根據(jù)開發(fā)人員Ullner的說法,麻煩出在如何說服用戶及時的打上補丁。事實上,正是由于人們對安全補丁的忽略,使得攻擊者依然能夠橫行無忌。
    最糟糕的是,即便是所有善意的hub管理員都將他們的系統(tǒng)升級到最新的版本,攻擊者自己依然能夠開設(shè)一個沒有應(yīng)用安全補丁的hub,并在這個hub吸收到足夠的用戶時發(fā)動攻擊。這使得安全人員很難能夠?qū)χM(jìn)行控制。