Az UPnP protokoll kihasználása megnehezíti az IT számára a DDoS támadások leállítását

Videó: Várható a nagyobb és összetettebb DDoS támadások. A Nexusguard műszaki vezetője, Juniman Kasman elmagyarázza, hogy a hibrid felhő hogyan segít a kiberbiztonsági cégeknek megkülönböztetni a törvényes forgalmat és a hamis IP-címeket a szolgáltatásmegtagadásokhoz használt támadások között.

Az Universal Plug and Play (UPnP) protokoll használatával a támadók elfedhetik az indított DDoS támadás forrását, és potenciálisan megnehezíthetik az áldozatok szervezetét a probléma enyhítésében - mondja az Imperva biztonsági kutatói hétfõ blogbejegyzésének.

Sok DDoS támadás akkor fordul elő, ha a rendszert túlterhelik a bejövő hálózati csomagokkal. A forgalom beáramlása befolyásolja a sávszélességet és az áldozatok alkalmazásának vagy termékeinek rendelkezésre álló erőforrásokat, ami a szolgáltatás megtagadását eredményezi. A DDoS támadás „eloszlik” több forrásból származó bejövő forgalom miatt.

A DDoS támadásokat általában olyan eszköz segítségével enyhítik, amelyek egy adott forrásportot azonosíthatnak és blokkolhatják az adott porthoz tartozó forgalmat. Az UPnP protokoll azonban elfedheti a forrásportot, ami sokkal nehezebbé teszi a DDoS-hoz társított forgalom leállítását.

Az UPnP módszert használva a portok feltérképezésének megváltoztatására, a rosszindulatú "hasznos terhelések szabálytalan forrásportokból származnak". Ez lényegében haszontalanná teszi a forgalom feketelistára tervezett eszközöket.

"Nevezetesen, az adócsalás módszer nem korlátozódik a DNS-amplifikációra, mivel a saját későbbi tesztünk azt mutatta, hogy hatékony SSDP, DNS és NTP támadások esetén" - írta a kutatók az üzenetben. "Ezen túlmenően nincs ok azt feltételezni, hogy más amplifikációs vektorok (pl. Memcached) nem működnek ugyanolyan jól."

Szóval, mit kell tenni? A postában a kutatók megjegyezték, hogy az amplifikációs munkaterhelések kimutatásának megvalósítható alternatívája lehet a mély csomag-ellenőrzés (DPI). Ez azonban több erőforrást igényel, és skálán nehezebb végrehajtani.

A hozzászólás szerint Imperva egy koncepciómegtakarítási (PoC) támadással dolgozott az obfuszkációs technika számára. Az Imperva sikeres volt a teszteiben, de emellett két támadást fedezett fel vadonban.

Az egyik támadás április 26-án történt, egy NTP amplifikációs vektoron keresztül. A hozzászólás megjegyezte, hogy a kutatók szerint az alacsony forgalom egy próbálkozási kísérletre mutatott, ezért közzétették kutatásaikat, hogy minél több ember tisztában legyen a kérdéssel, még mielőtt a gyakorlat elterjedtebbé vált.

A technológiai vezetők nagy részvétele:
  • A támadók kihasználják az UPnP (Universal Plug and Play) protokollt, hogy elrejtsék, ahonnan támadásaik származnak, megnehezítve őket.
  • Előfordulhat, hogy a régebbi DDoS védelmi rendszereket, amelyek csomaginformációkat használnak a támadások elleni védekezésre, kiegészíteni vagy frissíteni kell.

Kiberbiztonsági bennfentes hírlevél

Erősítse meg szervezetének informatikai biztonsági védelmét azáltal, hogy lépést tartson a legújabb kiberbiztonsági hírekkel, megoldásokkal és a bevált gyakorlatokkal. Keddenként és csütörtökön szállítva

Regisztrálj még ma

© Copyright 2020 | mobilegn.com