Специалисты по защите от DDoS из Arbor Networks зафиксировали серию атак с отражением и усилением трафика (DrDoS) при помощи устройств, использующих протокол передачи данных CoAP. Подавляющее большинство таких посредников расположены в Китае и являются частью децентрализованной мобильной сети QLC Chain.

Протокол CoAP (Constrained Application Protocol), предназначенный для межмашинного взаимодействия, относительно молод — он был принят как стандарт (RFC 7252) в 2014 году. CoAP используется в сетях, где работают устройства с ограниченными ресурсами — такие как IoT, но широкое распространение получил только в прошлом году.

Этот облегченный протокол прикладного уровня совместим с HTTP и благодаря этому обеспечивает управление смарт-устройствами через Интернет. В качестве транспортного протокола CoAP по умолчанию использует не TCP, а UDP и работает на порту 5683. К сожалению, протокол UDP допускает подмену IP-адреса источника запроса и позволяет на небольшой запрос возвращать более объемный ответ, чем часто пользуются авторы DrDoS-атак. Создатели CoAP предусмотрели в нем защиту от подобных злоупотреблений, однако изготовители маломощных устройств редко реализуют эту функциональность, так как она утяжеляет службу.

По данным Arbor, при использовании CoAP запрос GET величиной 21 байт обычно возвращает ответ в 720 байт, то есть коэффициент усиления составляет 34. В сравнении с другими протоколами на базе UDP это весьма умеренный показатель. Однако этого вполне достаточно, чтобы создать внушительный поток. В декабре некий специалист по защите от DDoS заявил журналистам ZDNet, что он уже сталкивался с CoAP-атаками; их мощность в среднем составила 55 Гбит/с, а самая серьезная показала 320 Гбит/с.

Эксперты Arbor наблюдают активность, связанную с CoAP-атаками, с конца прошлого года. Вначале это были лишь попытки сканирования порта 5683, затем последовали и первые DrDoS-атаки с использованием CoAP. С середины января число подобных инцидентов стало возрастать, а количество скан-событий осталось примерно на том же уровне.

Продолжительность DDoS с CoAP-плечом, согласно Arbor, в среднем составляла немногим более полутора минут при интенсивности потока 100 пакетов в секунду. Мишени дидосеров имели мало общего и были разбросаны по всему миру. Как удалось установить, источниками вредоносного трафика являлись в основном мобильные телефоны жителей Китая.

Чтобы составить представление о популяции потенциальных CoAP-посредников, эксперты провели интернет-сканирование и обнаружили 388 344 устройства с открытым портом 5683. Основная их масса (81%) находилась в Китае, значительно меньше — в Бразилии, Марокко, Южной Корее и США. Почти все китайские CoAP-устройства оказались привязанными к сети QLC Chain (ранее называлась Qlink). Данный проект нацелен на создание мобильной сети на основе блокчейна, где каждый участник может предложить услуги WiFi и взимать плату в виде специальных токенов.

Выбор CoAP в качестве вектора DDoS несколько удивил экспертов: SSDP, к примеру, обеспечивает такой же коэффициент усиления, но при этом устройств, использующих его и доступных из Интернета, больше на порядок. К тому же они в отличие от CoAP-гаджетов не меняют IP-адрес, и дидосерам не нужно проводить повторное сканирование, чтобы собрать посредников для атаки. Однако факт остается фактом: CoAP привлек внимание злоумышленников, и если не принять мер, дальнейшее внедрение протокола будет умножать армию потенциальных усилителей DDoS-трафика и расширять их географию.

Категории: DoS-атаки, Главное, Уязвимости