متود های جدید حملات UDP تقویت شده : RIP و PORTMAP

حملات RIP amplification نوعی جدیدی از حملات UDP هستند که  عضو حملات تقویت شده UDP به حساب می آیند.
RIP یک پروتکل اطلاعات مسیریابی (Routing Information Protocol ) است که به صورت UDP و بر روی پورت 520 مورد استفاده قرار میگیرد.amplification rate یا نرخ تقویت این نوع پروتکل در یک حمله DDoS در کمترین حالت 55 برابر است؛ یعنی با استفاده از این باگ در سرور ها می توان یک حمله کوچک 100 مگابیتی را به 5500 مگابیت تبدیل کرد؛ البته در دیگر متود های حملات تقویت شده ممکن است نرخ تقویت بسیار بیشتر از این مقدار باشد مثل NTP یا DNS ولی باید این موضوع را در نظر گرفت که اکثر این باگ ها در سرویس دهندگان برطرف شده است اما مزیت متود RIP برای اتکر ها این است که این روش جدید است و هنوز توسط بسیاری از سرویس دهندگان پتچ نشده و به راحتی قابل استفاده برای راه اندازی حملات بزرگ است.

پروتکل Portmap نیز در حقیقت یک میانبر برای Port Mapper در سرویس دهندگان است؛ این پروتکل به صورت UDP  و  بر روی پورت 111 کار میکند. نرخ تقویت این متود جدید جمله DDoS کمتر از RIP است ؛ حدود 20 برابر ! اما این روش نیز جدید است و در بسیاری از سرویس دهندگان پتچ نشده است؛ تا زمان پتچ شدن این متود های جدید؛ آنها می توانند بسیار خطرناک و عاملی برای ایجاد حملات سنگین توسط اتکر ها باشند.

معرفی حمله DNS Amplification Attack

تا به امروز در خصوص متود ها مختلف حملات TCP توضیح داده ایم؛ اما امروز قصد داریم یک متود متفاوت از حملات را کالبد شکافی کنیم؛ حملاتی غول آسا و غیر قابل کنترل و البته معروف با نام DNS Amplification Attack .

یک حمله DNS amplification بر پایه هدایت ترافیک بدون اتصال از پروتکل UDP استفاده می شود. مهاجم با استفاده از DNS سرور های باز عمومی سعی در هدایت ترافیک بالا به آی پی قربانی است.در روش اولیه مهاجم یک درخواست DNS name lookup به یک سرور DNS عمومی ارسال می کند اما از IP جعلی ( که همان آی پی قربانی می باشد) جهت ارسال استفاده می کند و DNS سرور پاسخ را به همین آی پی ارسال می کند.

عامل تقویت بخش اصلی این حمله است؛ تقویت در این نوع حملات 54X است؛ یعنی هر بایت ترافیک که توسط مهاجم به سرور  DNS ارسال می شود؛ پاسخی به اندازه 54 بایت از سمت DNS سرور برای آی پی قربانی به همراه خواهد داشت.

اکثر حملات مشاهده شده از این نوع توسط US-CERT انجام شده؛درخواست های جعلی ارسال شده توسط هکر ها از نوع  “ANY” هستند که تمامی اطلاعات شناخته شده در خصوص ناحیه DNS را به آی پی قربانی بازگشت می دهد که به طور قابل توجهی بسیار بزرگتر از درخواست ارسال شده توسط مهاجم می باشد.

با استفاده از بات نت ها برای تولید تعداد زیادی از درخواست های DNS با آی پی های جعلی , مهاجم می تواند با کمترین تلاش بیشترین ترافیک را به سمت آی پی قربانی هدایت کند و از طرفی چون ترافیک به صورت مشروع از سرور های معتبر ارسال می شود؛ مهار و مسدود سازی آن مشکل خواهد بود.

در مثال زیر  ما میبینیم که یک درخواست پرس و جو جعلی از آی پی قربانی (10.100.101.102 ) بر روی پورت 80 را میبینیم که از DNS سرور 192.168.5.10 انجام شده است:

به خواندن ادامه دهید