آموزش حملات UDP amplification

۵ دقیقه برای خواندن نیاز دارید

آموزش حملات UDP amplification

انکار حملات خدمات (DDoS) توزیع شده به طور قابل توجهی در سه سال گذشته رشد کرده است، یک نمونه اخیر با نام مستعار “Memcrashed” جدیدترین کسی بود که رکورد بزرگترین حمله DDoS را که تاکنون ثبت شده است ، با ۱.۷ Tbps ترافیک شکست، این حمله از طریق تکنیکی به نام حملات UDP amplification به چنین موج عظیم ترافیکی گسترده ای رسید.

خروج از این طرح برای بسیاری از حملات DDoS اصلی در حافظه اخیر، متکی بود، سایت WatchGuard CTO Corey Nachreiner توضیح داد که چگونه حملات UDP amplification کار می کند و چرا این حملات در ستون اخیر مجله سایبر دفاعی پتانسیل DDoS دارند.

تقویت حملات UDP amplification

یکی از دلایل تقویت UDP یا (UDP amplification ) که باعث ایجاد چنین حملات DDoS عظیم می شود، ترافیک UDP قبل از ارسال اطلاعات است که نیازی به اتصال بین دو دستگاه ندارد، بنابراین، اگر رایانه بسته UDP را دریافت کند، قبل از ارسال پاسخ تأیید نمی کند که بسته از کجا تهیه می شود، مهاجمان DDoS می توانند با ارسال درخواست UDP به سرورهای اینترنتی عمومی با استفاده از آدرس IP قربانی به عنوان منبع بسته، از این مزیت استفاده کنند.

از آنجا که UDP بی سیم است، سرور کورکورانه پاسخ خود را به رایانه هدف می فرستد، حتی اگر درخواست اصلی از طرف مهاجم صورت گرفته باشد، از این بدتر، جنایتکاران سایبری سرویس های UDP را پیدا کرده اند که پاسخ هایی را ارسال می کنند که بسیار بیشتر از درخواست اولیه است، حمله معروف Memcrashed از پروتکل به نام “Memcached” استفاده کرد که پاسخی برابر با ۱۰،۰۰۰-۵۱،۰۰۰ برابر اندازه درخواست را می دهد.

حملات DDoS

حملات DDoS

چگونگی حملاتUDP amplification

به طور خلاصه ، حملات تقویت آمریکایی USP موفقیت آمیز است زیرا در UDP amplification توانایی کلاهبرداری، به مهاجمان اجازه می دهد تا بعضی از درخواستهای سرورهای عمومی را به قربانیانی که اطلاعی از حمله ندارند، اعلام کنند و بعضی از خدمات حملات UDP amplification اجازه درخواستهای کوچکی را می دهند که پاسخهای ظاهری بزرگتری ایجاد می کنند، در حالی که هر یک از این سرویسهای UDP دارای مشخصات درخواست کمی متفاوت هستند، تمام حملات UDP amplification اساساً طعمه این سه مسئله را می دهند که در کنار هم قرار گرفته اند.

این نوع حملات به احتمال زیاد ادامه خواهد یافت، زیرا بسیاری از خدمات UDP در آنجا وجود دارند که توسط مهاجمین قابل دستکاری هستند، خوشبختانه، روش هایی وجود دارد که مدیران شبکه می توانند به جلوگیری از وقوع این حملات کمک کنند.

تکامل حملهDDoS با قدرت حملاتUDP amplification

در طول سه سال گذشته، حملات انکار سرویس (DDoS) توزیع شده، هم از نظر کمیت و هم در مقیاس قابل توجهی رشد کرده اند و بارها و بارها سوابق پهنای باند را شکسته اند، جدیدترین تحولات DDoS در سال ۲۰۱۶ آغاز شد که اینترنت با اشیاء (IoT) به نام Mirai حمله ۶۲۰ Gbps DDoS را علیه سایت Krebsonsecurity.com و حمله ۱ Tbps علیه یک شرکت میزبان اروپایی (OVH) انجام داد، حملات DDoS از این بزرگی اغلب قربانیان وثیقه را جدا از هدف مورد نظرشان از بین می برد و آنها فقط قوی تر می شوند.

اما پیش از حمله به اینترنت اکسپلورر IoT ، مهاجمان با استفاده از تکنیکی به نام تقویت و بازتاب Domain Name Service (DNS) حملات ضبط کننده DDoS را انجام می دادند، این روش از سه ویژگی سرویس DNS برای مجبور کردن سرورهای عمومی برای ارسال مقادیر زیاد ترافیک به قربانیان مظنون استفاده می کند، با این حال، این سه خاصیت فقط مختص DNS نیستند، آنها در بسیاری از خدمات شبکه مستقر در UDP، از جمله سرویس های قبلی کمتر شناخته شده مانند Memcached وجود دارند، حملات تقویت UDP با حمله “Memcrashed” منجر به بازگشت DDoS شد، که طی آن جنایتکاران با استفاده از Memcached، تا ۱.۷ کیلوبایت بر ثانیه از ترافیک DDoS تولید کردند.

حملات تقویت کننده UDP

حملات تقویت کننده UDP

درک حملات UDP amplification DDoS

برای درک حملات UDP amplification، ابتدا باید تفاوتهای بین ترافیک TCP و UDP را به خاطر بسپارید، در سطح بالایی، ترافیک TCP قبل از شروع هرگونه ارتباط واقعی نیاز به مذاکره کامل دو طرفه بین هر دو دستگاه دارد، به این مذاکره دستبند سه جانبه گفته می شود، در مورد حملات DDoS، این بدان معنی است که شما واقعاً نمی توانید حملات DDoS مبتنی بر TCP (به استثنای حملات مذاکره TCP مانند سیل SYN) را نادیده بگیرید، به عبارت دیگر، حمله TCP معمولاً باید از رایانه ای باشد که مهاجم کنترل می کند، از طرف دیگر UDP یک پروتکل بی ارتباط است، این نیاز به پیش مذاکره ندارد، نه لزوماً پاسخ دستگاه دریافت کننده بلکه پروتکل های بی ارتباط دیگری نیز وجود دارد.

مهاجمان از انواع بسیاری از حملات UDP amplification سوءاستفاده می کنند که می توانند چندین سرویس مختلف شبکه را اعمال کنند، اعم از DNS ، NTP ، SNMP ، Memcached و موارد دیگر، گرچه این حملات در سطح فنی کمی متفاوت است، اما همه آنها سه ویژگی مشترک دارند. آنها از بودن مبتنی بر UDP بهره می برند، از خدمات شبکه ای که معمولاً در معرض دید عموم است استفاده می کنند و یک عامل مقیاس نامتقارن را ارائه می دهند.

فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب

پاسخی بگذارید