Οι επιτιθέμενοι καταχρώνται ολοένα και περισσότερο ανασφαλείς δρομολογητές και άλλες οικιακές συσκευές για επιθέσεις DDoS

Οι επιτιθέμενοι επωφελούνται από τους δρομολογητές οικίας και άλλες συσκευές που ανταποκρίνονται σε αιτήματα UPnP (Universal Plug and Play) μέσω του Διαδικτύου για να ενισχύσουν τις κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης

Μια έκθεση που δημοσιεύθηκε την Τρίτη από τον πάροχο υπηρεσιών cloud Akamai Technologies δείχνει ότι ο αριθμός των επιθέσεων DDoS αυξάνεται. Κατά το δεύτερο τρίμηνο του 2015 αυξήθηκε κατά 7% σε σύγκριση με τους προηγούμενους τρεις μήνες και κατά 132% σε σύγκριση με την αντίστοιχη περσινή περίοδο, σύμφωνα με τα στοιχεία της εταιρείας.

Συνολικά, οι επιτιθέμενοι ξεκίνησαν λιγότερο ισχυρές επιθέσεις, . Ωστόσο, η εταιρεία είδε 12 επιθέσεις που ξεπέρασαν τα 100Gbps κατά το δεύτερο τρίμηνο και πέντε που κορυφώθηκαν σε περισσότερα από 50 εκατομμύρια πακέτα ανά δευτερόλεπτο.

Πολύ λίγοι οργανισμοί διαθέτουν την αναγκαία υποδομή για να αντιμετωπίσουν τέτοιες επιθέσεις από μόνοι τους. Ο μεγαλύτερος που καταγράφηκε κατά τη διάρκεια του δεύτερου τριμήνου μέσω του δικτύου Prolexic Routed του Akamai έφθασε στο 214Mpps και ήταν ικανός να διαταράξει τους δρομολογητές υψηλών επιδόσεων που χρησιμοποιούν οι ISPs.

Οι αντανακλάσεις SYN πλημμυρών και ο πρωτόκολλο Simple Service Discovery Protocol οι δημοφιλείς φορείς DDoS που χρησιμοποιούν 16% και 15,8% αντίστοιχα.

Η αντανάκλαση του DDoS είναι μια τεχνική όπου οι επιτιθέμενοι στέλνουν αιτήματα με μια διεύθυνση IP (Internet Protocol) με παραπλανητική πηγή προέλευσης σε υπολογιστές τρίτων με αποτέλεσμα να στέλνουν απαντήσεις αυτή τη διεύθυνση αντί του αρχικού αποστολέα. Η πλαστογραφημένη διεύθυνση IP ανήκει στο υποτιθέμενο θύμα

Εάν τα αρχικά πακέτα είναι μικρότερα από τις δημιουργούμενες αποκρίσεις, η τεχνική έχει επίσης ένα αποτέλεσμα ενίσχυσης επειδή επιτρέπει στους επιτιθέμενους να παράγουν περισσότερη κίνηση από ότι το διαθέσιμο εύρος ζώνης τους επιτρέπει κανονικά, αντανακλώντας το μέσω άλλων υπολογιστών.

Ο συντελεστής ενίσχυσης εξαρτάται από το χρησιμοποιούμενο πρωτόκολλο. Οι υπερασπιστές του DNS και των διακομιστών NTP (Time Time Protocol Network) έχουν επανειλημμένα καταχραστεί τα τελευταία χρόνια για να προκαλέσουν μεγάλες επιθέσεις DDoS.

Οι επιτιθέμενοι ξεκίνησαν να χρησιμοποιούν το SSDP για προβληματισμό και ενίσχυση DDoS το τελευταίο τρίμηνο του 2014 και έχουν γίνει από τότε μια από τις αγαπημένες τους τεχνικές. Παρόλο που το πρωτόκολλο έχει χαμηλότερο παράγοντα ενίσχυσης από το DNS ή το NTP, έχει ένα μεγάλο πλεονέκτημα: χρησιμοποιείται από εκατομμύρια ευάλωτες συσκευές που διαδίδονται σε όλο τον κόσμο και είναι απίθανο να διορθωθούν.

Το SSDP είναι μέρος του Universal Plug and Play (UPnP) πρωτόκολλα δικτύωσης που επιτρέπει στις συσκευές να ανακαλύπτουν το ένα το άλλο και να δημιουργούν λειτουργικές υπηρεσίες χωρίς χειροκίνητη διαμόρφωση.

Το πρωτόκολλο προορίζεται να χρησιμοποιηθεί μέσα σε μικρά οικιακά και επιχειρηματικά δίκτυα, αλλά υπάρχει ένας πολύ μεγάλος αριθμός δρομολογητών και άλλων συσκευών που έχουν ρυθμιστεί ώστε να ανταποκρίνονται σε ερωτήματα SSDP μέσω του Διαδικτύου, καθιστώντας τους δυνητικούς ανακλαστήρες DDoS.

Σύμφωνα με το Ίδρυμα Shadowserver, εθελοντική οργάνωση που προωθεί την ασφάλεια στο Διαδίκτυο, υπάρχουν σήμερα περίπου 12 εκατομμύρια διευθύνσεις IP στο Διαδίκτυο SSDP.

Το διάνυσμα αντανάκλασης SSDP δεν έχει υποβληθεί στον ίδιο τύπο προσπαθειών καθαρισμού όπως το NTP και το DNS, επειδή οι περισσότερες από τις συσκευές που χρησιμοποιούνται είναι καταναλωτικές και όχι διακομιστές, ανέφεραν οι ερευνητές του Akamai στην έκθεση.

Οι ιδιοκτήτες τους είναι συνήθως οικιακοί χρήστες που είναι απίθανο να συνειδητοποιήσουν ότι οι συσκευές τους συμμετέχουν σε επιθέσεις, δήλωσαν. "Ακόμη και αν παρατηρήσουν βραδύτητα στα δίκτυά τους, ενδέχεται να μην έχουν την τεχνογνωσία για την αντιμετώπιση, τον μετριασμό ή την ανίχνευση της αιτίας."