Университетские исследователи обнаружили еще одну, пока теоретическую возможность для проведения DDoS-атак с отражением и усилением трафика — использование TFTP. Как отмечает The Register, этот упрощенный FTP-протокол обычно используется во внутренних сетях и средах бездисковой загрузки, однако пробный поиск с помощью Shodan, проведенный репортером, показал десятки тысяч TFTP-устройств, открытых для злоупотреблений.

Протокол передачи файлов TFTP основан на UDP и не поддерживает аутентификацию, что лишь на руку потенциальным злоумышленникам: DDoS с плечом предполагает подмену IP-адреса источника запроса. Более того, исследование, проведенное на базе Эдинбургского университета им. Непера, показало, что коэффициент усиления при использовании TFTP-посредников может достичь 60.

Сканирование портов, предпринятое в ходе данного исследования, выявило порядка 599,6 тыс. TFTP-серверов, оказавшихся в публичном доступе из-за неправильной конфигурации. «Обнаруженная уязвимость позволяет хакерам использовать эти общедоступные серверы для усиления мусорного трафика ровно так же, как и при других DDoS с усилением, к примеру при атаках с DNS-усилением, — пояснил журналистам Борис Зиклик (Boris Sieklik), один из соавторов исследования. — При благоприятном стечении обстоятельств исходный трафик можно увеличить до 60-кратного объема».

«Я также оценил возможность исполнения такой атаки на разных реализациях ПО TFTP, — продолжает исследователь. — Как оказалось, большинство реализаций автоматически повторяют передачу одного и того же сообщения до шести раз, что тоже способствует усилению».

Зиклик также предостерег, что DDoS-атаки с TFTP-плечом можно проводить как против внешних мишеней, так и против объектов во внутренней сети. «Насколько я знаю, хакеры пока не используют данную уязвимость во вред окружающим, — добавил он, упреждая вопрос журналиста. — Тем не менее на российских и китайских сайтах мне уже встречались публикации на эту тему».

Категории: DoS-атаки, Аналитика