Хакеры используют торрент-клиенты для совершения мощных DDoS-атак

Поисковые системы >> 18.08.2015

По словам экспертов, в пиринговых протоколах содержится уязвимость, которая позволяет хакерам проводить DDoS-атаки через включенные торрент-клиенты. Подобный изъян обнаружен в приложении BitTorrent Sync.

Среди основных немецкие и британские специалисты выделяют протоколы MSE, DHT, uTP, о чем заявлено на странице организации USENIX.

Уязвимость пользователей торрент-приложений состоит в том, что в пиринговых протоколах отсутствуют элементы для предотвращения IP-спуфинга – замены хакерских IP-адресов на пользовательские. Таким образом злоумышленники могут использовать многочисленные компьютеры пользователей для усиления DDoS-атак.

Через уязвимость преступники посылают запрос в пользовательский торрент-клиент, где содержится просьба о пиринговом соединении, но в отправленных данных вместо IP-адреса инициализатора содержится IP-адрес атакуемого ПК. При получении сообщения, торрент-клиенты делают попытки произвести соединение, но уже с устройством жертвы, чей адрес был получен в принятых данных. Работа клиентов производится таким образом, что они всегда отправляют в разы большие объемы данных, нежели получают.

В случае отсутствия мгновенного ответа с запрашиваемого IP-адреса, перед полным прекращением попыток соединения производятся неоднократные действия для его установления. Подобная схема делает объем трафика на компьютер жертвы довольно внушительным, хотя начальный пакет, отправляемый злоумышленником, часто состоит из одного сообщения, которое активирует процесс.

Кроме того, эта схема не позволяет раскрыть местоположение атакующего, поскольку DDoS-трафик отправляется с компьютера-отражателя.

Чтобы оценить эффективность торрент-приложений, исследователями были проведены различные эксперименты, которые продемонстрировали разный уровень увеличения трафика – BAF. Самый высокий был отмечен у BitTorrent Sync – он умножает показатели в 129 раз, за ним следуют Vuze – 54 раза, и uTorrent и BitTorrent – почти 40.

Самая мощная DDoS-атака была зафиксирована в 2014 года. Тогда объем трафика составлял 400 Гбит/с.