DRDOS (Distributed Reflective Denial of Service). Ο κ. Florian Adamsky από το University οf London δημοσίευσε μια ερευνητική εργασία στη οποία αναφέρεται λεπτομερώς στην οικογένεια των πρωτοκόλλων που χρησιμοποιούνται από BitTorrent clients και μπορούν να καταχραστούν για τη διεξαγωγή επιθέσεων DRDOS.
Οι περισσότεροι από εμάς έχουν μια βασική ιδέα του τι είναι μια DDOS επίθεση, αλλά η DRDOS επίθεση είναι λίγο διαφορετική.
Ενώ σε μια DDOS επίθεση ένας hacker ελέγχει μια σειρά από zombie υπολογιστές που δημιουργούν υπερβολική κυκλοφορία σε έναν στόχο με αποτέλεσμα ο στόχος να “μπουκώσει” και να μην είναι πια προσβάσιμος από τρίτους, σε μια DRDOS, ο επιτιθέμενος δημιουργεί κυκλοφορία σε ένα νόμιμο εξοπλισμό δικτύου (ονομάζεται κάτοπτρο), από το οποίο στη συνέχεια αναμεταδίδει την κυκλοφορία στο θύμα.
Η κίνηση που αποστέλλεται στο κάτοπτρο είναι πλαστογραφημένη και περιέχει τη διεύθυνση IP του θύματος σαν προέλευση του πακέτου, και όταν το κάτοπτρο (ή αν θέλετε ο ανακλαστήρας) ακολουθεί τους γενικούς κανόνες των πρωτοκόλλων του Διαδικτύου και προσπαθεί να δημιουργήσει μια σύνδεση, το κάνει με την IP του θύματος, αντί του εισβολέα.
Επίσης πέρα της αποστολής κίνησης σε ένα κάτροπτρο, οι επιτιθέμενοι έχουν επινοήσει τρόπους χρήσης του κατόπτρου για να ενισχύσουν την κυκλοφορία.
Τα πρωτόκολλα που χρησιμοποιούνται ευρέως σε επιθέσεις DRDOS είναι TCP, DNS, και NTP. Η ερευνητική εργασία του κ. Adamsky δείχνει πώς μπορούν να χρησιμοποιηθούν πάρα πολλά πρωτόκολλα από την οικογένεια του BitTorrent σε επιθέσεις DRDOS, ακόμη και με τη δυνατότητα ενίσχυσης της κυκλοφορίας.
Σύμφωνα με τον κ. Adamsky, τα πρωτόκολλα BitTorrent που επηρεάζονται είναι τα: UTP (Micro Transport Protocol), DHT (Distributed Hash Table), και MSE (Message Stream Encryption). Αυτά είναι και τα πρωτόκολλα που χρησιμοποιούνται στις εφαρμογές BitTorrent , uTorrent και Vuze .
Επιπλέον, το πρωτόκολλο συγχρονισμού BTSync που χρησιμοποιείται με την εφαρμογή ανταλλαγής αρχείων BitTorrent Sync, είναι επίσης ευάλωτο.
“Τα πειράματά μας δείχνουν ότι το BitTorrent έχει ένα παράγοντα ενίσχυσης του bandwidth (BAF = bandwidth amplification factor) 50 φορές μεγαλύτερη και στην περίπτωση του BTSync είναι έως και 120 φορές μεγαλύτερη”, δήλωσε ο κ. Florian Adamsky.
Όμως τα κακά νέα δεν σταματούν εδώ. Εκτός από την ενίσχυση της κυκλοφορίας οι DRDOS επιθέσεις που πραγματοποιούνται μέσω του BitTorrent είναι ανιχνεύσιμες με κανονικά firewalls εξαιτίας “του εύρους των δυναμικών πορτών και της κρυπτογράφησης κατά τη διάρκεια της χειραψίας”
Οι Υπηρεσίες μετριασμού για αυτό το είδος των επιθέσεων θα απαιτούσαν πιθανά Deep Packet Inspection (DPI), μία λύση που “τρώει” πολλούς πόρους για τις περισσότερες υποδομές διακομιστών.
Όπως αναφέρει το TorrentFreak, στο BitTorrent έχουν επιδιορθωθεί σε μια πρόσφατη έκδοση beta μερικά από αυτά τα θέματα, ενώ το Vuze και το uTorrent εξακολουθούν να είναι ευάλωτα.