استفاده از پروتکل TFTP برای حملات DDoS انعکاسی و تقویتی

چند ماه قبل، محققان امنیت در دانشگاه ناپیر ادینبورگ مقاله‌ای را در مورد روش‌ انعکاس و تقویت حملات منع سرویس توزیع‌شده (DDoS ) منتشر کردند که از TFTP (پروتکل انتقال موقت پرونده) استفاده می‌کنند، اکنون اما محققان شرکت آکامای در مورد به کارگیری این تکنیک‌ها در دنیای واقعی هشدار داده‌اند.
حملات DDoS که معمولاً با بات‌نت‌های فراوان اجرا شده و از طریق منابع مختلفی اجرا می‌شوند، می‌توانند موجب ایجاد جریان ترافیک فراوانی شوند، اما دستگاه‌های میانی که به نام تقویت‌کننده یا تشدیدگر نامیده می‌شوند، می‌توانند برای تقویت این حملات به کار گرفته شوند. آنچه که محققان دانشگاه ادینبورگ کشف کرده‌اند اینست که TFTP می‌تواند یک عامل تقویت‌کننده‌ای به اندازه‌ی حدود ۶۰ باشد که در میان سایر روش‌ها نرخ‌ بالایی محسوب می‌شود.

علاوه بر این، محققان این دانشگاه به نام‌های بوریس سیکلیک، ریچارد مک فارلین و ویلیام ج. بوکانن، در مقاله‌ی خود اعلام کردند که این روش تقویتی، یک مشکل جهانی است و اساساً به خاطر این است که این پروتکل از سوی حدود تقریباً ۵۹۹۶۰۰ کارگزار باز TFTP استفاده می‌شود. مطالعه‌ی آن‌ها به سال ۲۰۱۴ برمی‌گردد، امّا تنها در ماه مارس امسال بود که این مطالعه در نشریه‌ی Computer & Science منتشر شد و به سرفصل اخبار در این زمینه تبدیل شد.
با این حال این سه محقق اولین کسانی نبودند که نشان دادند کارگزارهای TFTP می‌توانند برای تقویت حملات DNS استفاده شوند، چرا که مهندس تحقیقات شرکت سیسکو جیسون شولتز این امکان را در سال ۲۰۱۳ بررسی کرده بود. شولتز گفته بود: «تقویت این پروتکل برای مهاجمان روش بهینه‌ای نیست اما دسترسی داشتن به کارگزارهای TFTP به صورت عمومی هنوز می‌تواند در زمره اهداف مؤثر باشد».

روز چهارشنبه، تیم پاسخ هوشمند امنیت شرکت آکامای (SIRT) ده حمله را کشف کرد که از تاریخ ۲۰ آوریل ۲۰۱۶ شروع به فعالیت کرده و به مشتریان شرکت‌ها حمله می‌کردند. جوز آرتگا از شرکت آکامای در مشاوره‌نامه‌ای نوشته است که این اسکریپت TFTP در ماه مارس شروع به گردش کرده است و به نظر می‌رسد که «همزمان با انتشار اخبار این تحقیقات در مورد امکان انجام روش این حمله فعال شده است».
بنا به گفته‌ی آرتگا، اغلب این حوادث حملاتی چند برداری هستند که شامل انعکاس TFTP نیز می‌شوند. نشان‎دهنده‎ی این است که حداقل یک وب‎گاه که حمله‎ی DdoS را همانند یک سرویس ارائه می‎دهد، از این تکنیک بهره می‎برد. محققان می‌گویند که در حالی‎که این روش حمله یک نرخ بسته‌ی چندان بالا را فراهم نمی‌کند، اما حجم ایجاد شده ممکن است کافی باشد تا پهنای باند را در وبگاه هدف مصرف کند. همچنین آن‎ها توضیح می‌دهند که ابزار این حمله از همان کد به عنوان ابزارهای دیگر انعکاس پایه‌ی UDP استفاده می‌کند و همان خط دستورات را در بر دارد.

مشخصات چنین حمله‌ای پهنای باندی را به میزان حداکثر ۱/۲ گیگابایت در ثانیه و یا به شکل ۱۷۶.۴ هزار بسته در ثانیه نشان می‌دهد. محققان همچنین می‌گویند که بردار انعکاس این حمله از درگاه ۶۹ به عنوان درگاه منبع استفاده می‌کند. با این حال به نظر می‌رسد که این حملات معمولاً پارامتر درگاه را نادیده گرفته و موجب استفاده‌ی تصادفی از درگاه‌ها می‌شوند.
با این حال، این حمله به وسیله‌ی ماهیت TFTP محدود می‌شود، چرا که این پروتکل برای این ایجاد شده است که پرونده‎ها و به خصوص پرونده‎های پیکربندی را به تعداد محدودی از میزبان‌ها در یک زمان مشخص ارسال کند. این بدان معناست که کارگزارهای TFTP قادر نیستند که حجم زیادی از درخواست‌های ارسال شده توسط ابزارهای حمله‌ی TFTP را منتقل کنند.

این محقق می‌گوید: «TFTP تنها ۱.۲ گیگابیت نرخ حمله را تولید می‌کند اما حملات چند برداری که حمله‌ی TFTP یکی از بردارهای آن هستند، به میزان ۴۴ گیگابیت در ثانیه می‌رسند. تاکنون داده‌هایی از حملات انعکاس TFTP که در طی مراحل اولیه این حملات جمع‌آوری شده‌اند نشان‌دهنده توزیع ضعیف آن‎ها هستند. بیشتر آن‎ها از آسیا ناشی می‌شوند و این اواخر منابع خود را از اروپا نیز اضافه کرده‌اند».
با این حال، این تحقیق توصیه می‌کند که همه‌ی کارگزارهای میزبان TFTP به ارزیابی درگاه ۶۹ خود برای اتصال به اینترنت بپردازند. این درگاه باید با یک دیواره آتش محافظت شود و تنها اجازه‌ی ورود منابع موثق را بدهد. همچنین مدیران باید از ابزارهایی استفاده کنند که بتوانند سوءاستفاده از کارگزارهای TFTP‌را در شبکه خود تشخیص دهند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap