yastheme
August 11th, 2015, 00:02
باگ های سرویس های DNS همواره محبوب ترین راه برای ایجاد حملات DDoS (http://central-hosting.com/blog/%d8%ad%d9%85%d9%84%d9%87-ddos-%d8%af%db%8c%d8%af%d8%a7%d8%b3-%da%86%db%8c%d8%b3%d8%aa%d8%9f/)عظیم برای مهاجمان بوده است؛به مرور زمان باگ های سرویس دهندگان DNS پتچ شدند و راه های سو استفاده از آن مسدود شده اند؛ به طوی که به هر درخواست ناشناخته پاسخ ندهند. NTP یکی از روش های محبوب بود که به وسیله آن حملات بزرگی در تاریخ اینترنت به وقوع پیوست که به مرور زمان آنها پتچ شدند و راه های سو استفاده از آنها بسته شد؛ اگر چه حملات NTP هنوز نیز مورد استفاده قرار میگیرد اما مثل سابق نیست و نمی تواند حملاتی به قدرت و بزرگی سابق را ایجاد نماید اما جدیدا با خطر جدیدی مواجه هستیم به نام SNMP که از روش تقویت شده (amplification) برای ایجاد حملات استفاده می کنند.
SNMPچیست؟
SNMP مخفف Simple Network Management Protocol و به معنی پروتکل مدیریت آسان شبکه است، دستگاههای مثل سرور که نیاز دارند به اطلاعاتی مثل میزان فضای هارد؛ میزان رم و سی پی یو مصرفی و … مانیتور و از یک راه استاندارد گزارش کنند از پروتکل SNMP استفاده می کند. همچنین بسیاری از روتر ها گزارش پهنای باند و سلامت کارکرد خود را از طریق این پروتکل گزارش می دهند.
درخواست های SNMP بر روی پورت ۱۶۱ و با پروتکل UDP ارسال و دریافت می شوند.
SNMP به عنوان یک روشDDOS
درحملات تقویت شده شبیه به این ؛ در مرحله اول هکر یک لیست بزرگ از سرور ها و روتر هایی که پورت SNMP در آنها باز است فراهم می کند و سپس یک درخواست جعلی به دستگاه های این لیست ارسال می کند. منبع جعلی ارسال کننده این درخواست ها آی پی هدف که قرار است بر روی آن حمله انجام شود در نظر گرفته می شود و هنگامی که این پکت ها توسط دستگاه های این لیست دریافت می شود ؛آنها شروع به پاسخ دادن به آی پی قربانی می کنند و ترافیک عظیمی را به سمت این آی پی هدایت می کنند. برای مثال مهاجم یک درخواست شبیه به این برای دستگاه دارای پورت SNMP باز می فرستد:
۱۸:۳۶:۳۸٫۱۵۷۸۸۷ IP 192.168.55.2.80 > 192.168.83.110.161: GetRequest(28) .۱٫۳٫۶٫۱٫۲٫۱٫۱٫۱٫۰
و پاسخی مثل زیر برای آی پی جعلی و قربانی ارسال خواهد شد:
۱۸:۳۶:۳۸٫۶۷۴۶۹۹ IP 192.168.83.110.161 > 192.168.55.2.80: C=axierj29 GetResponse(231) .1.3.6.1.4.1.2021.4.14.0=12926920 .1.3.6.1.4.1.2021.10.1.3.2=”۲٫۹۲″ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۰٫۱٫۳٫ =”۲٫۳۹″ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۰٫۱٫۳٫ =”۲٫۹۱″ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۱٫۵۰٫۰= ۲۱۶۹۳۲۲۸۲ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۱٫۵۲٫۰= ۳۵۱۵۳۹۶۷۳۶ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۱٫۵۱٫۰= ۱۰۹۳۳ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۴٫۱۵٫۰=۴ ۹۸۸۶۴ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۴٫۶٫۰=۲۶ ۱۰۹۶ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۱٫۶۲٫۰= ۲۹۴۸ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۱٫۶۳٫۰= ۶۴۲۷
در اینجا مواردی هائز اهمیت است:
۱- همانطور که میبینید آی پی قربانی به صورت ۱۹۲٫۱۶۸٫۵۵٫۲٫۸۰ به دستگاهی که دارای پورت باز SNMP است ارسال شده؛ که بخش پنجم آی پی نشان دهنده پورت دریافت کننده می باشد؛یعنی دستگاه های دارای باگ می توانند گزاش کارکرد خود را به هر پورتی ارسال نمایند و معمولا مهاجمان از پورت هایی استفاده می کنند که سرور قربانی قادر به بستن آن از روی فایروال های سخت افزاری نباشند؛ مثل پورت۸۰
2-حجم درخواست ارسالی توسط مهاجم ۲۸ بایت است اما پاسخ ۲۳۱ بایت است که نشان دهنده تقویت حملات تا بالای ۸ برابر است! این به این معنی است که یک پورت ۱۰ مگابیت می تواند ۸۲٫۵ مگابیت ترافیک به سمت سرور قربانی ارسال نماید. شاید در نگاه اول بگویید ۸۲٫۵ مگابیت حجم قابل توجهی نباشد، حال فرض کنید مهاجم به جای یک سرور با پورت ۱۰ مگابیت از ۱۰ سرور با پورت ۱ گیگابیت استفاده نماید ؛ یعنی حمله ای بالغ بر ۸۰ گیگابیت در ثانیه! و طبیعتا با افزایش تعداد سرور ها و پورت ها این حمله غیر قابل کنترل خواهد بود.
SNMPچیست؟
SNMP مخفف Simple Network Management Protocol و به معنی پروتکل مدیریت آسان شبکه است، دستگاههای مثل سرور که نیاز دارند به اطلاعاتی مثل میزان فضای هارد؛ میزان رم و سی پی یو مصرفی و … مانیتور و از یک راه استاندارد گزارش کنند از پروتکل SNMP استفاده می کند. همچنین بسیاری از روتر ها گزارش پهنای باند و سلامت کارکرد خود را از طریق این پروتکل گزارش می دهند.
درخواست های SNMP بر روی پورت ۱۶۱ و با پروتکل UDP ارسال و دریافت می شوند.
SNMP به عنوان یک روشDDOS
درحملات تقویت شده شبیه به این ؛ در مرحله اول هکر یک لیست بزرگ از سرور ها و روتر هایی که پورت SNMP در آنها باز است فراهم می کند و سپس یک درخواست جعلی به دستگاه های این لیست ارسال می کند. منبع جعلی ارسال کننده این درخواست ها آی پی هدف که قرار است بر روی آن حمله انجام شود در نظر گرفته می شود و هنگامی که این پکت ها توسط دستگاه های این لیست دریافت می شود ؛آنها شروع به پاسخ دادن به آی پی قربانی می کنند و ترافیک عظیمی را به سمت این آی پی هدایت می کنند. برای مثال مهاجم یک درخواست شبیه به این برای دستگاه دارای پورت SNMP باز می فرستد:
۱۸:۳۶:۳۸٫۱۵۷۸۸۷ IP 192.168.55.2.80 > 192.168.83.110.161: GetRequest(28) .۱٫۳٫۶٫۱٫۲٫۱٫۱٫۱٫۰
و پاسخی مثل زیر برای آی پی جعلی و قربانی ارسال خواهد شد:
۱۸:۳۶:۳۸٫۶۷۴۶۹۹ IP 192.168.83.110.161 > 192.168.55.2.80: C=axierj29 GetResponse(231) .1.3.6.1.4.1.2021.4.14.0=12926920 .1.3.6.1.4.1.2021.10.1.3.2=”۲٫۹۲″ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۰٫۱٫۳٫ =”۲٫۳۹″ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۰٫۱٫۳٫ =”۲٫۹۱″ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۱٫۵۰٫۰= ۲۱۶۹۳۲۲۸۲ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۱٫۵۲٫۰= ۳۵۱۵۳۹۶۷۳۶ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۱٫۵۱٫۰= ۱۰۹۳۳ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۴٫۱۵٫۰=۴ ۹۸۸۶۴ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۴٫۶٫۰=۲۶ ۱۰۹۶ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۱٫۶۲٫۰= ۲۹۴۸ .۱٫۳٫۶٫۱٫۴٫۱٫۲۰۲۱٫۱۱٫۶۳٫۰= ۶۴۲۷
در اینجا مواردی هائز اهمیت است:
۱- همانطور که میبینید آی پی قربانی به صورت ۱۹۲٫۱۶۸٫۵۵٫۲٫۸۰ به دستگاهی که دارای پورت باز SNMP است ارسال شده؛ که بخش پنجم آی پی نشان دهنده پورت دریافت کننده می باشد؛یعنی دستگاه های دارای باگ می توانند گزاش کارکرد خود را به هر پورتی ارسال نمایند و معمولا مهاجمان از پورت هایی استفاده می کنند که سرور قربانی قادر به بستن آن از روی فایروال های سخت افزاری نباشند؛ مثل پورت۸۰
2-حجم درخواست ارسالی توسط مهاجم ۲۸ بایت است اما پاسخ ۲۳۱ بایت است که نشان دهنده تقویت حملات تا بالای ۸ برابر است! این به این معنی است که یک پورت ۱۰ مگابیت می تواند ۸۲٫۵ مگابیت ترافیک به سمت سرور قربانی ارسال نماید. شاید در نگاه اول بگویید ۸۲٫۵ مگابیت حجم قابل توجهی نباشد، حال فرض کنید مهاجم به جای یک سرور با پورت ۱۰ مگابیت از ۱۰ سرور با پورت ۱ گیگابیت استفاده نماید ؛ یعنی حمله ای بالغ بر ۸۰ گیگابیت در ثانیه! و طبیعتا با افزایش تعداد سرور ها و پورت ها این حمله غیر قابل کنترل خواهد بود.