Akamai警告DDoS反射攻擊現上升趨勢 利用棄置路由協議

七月 6th, 2015 | Categories: Latest News

領先全球的內容傳送網絡(Content Delivery Network;CDN)服務供應商Akamai Technologies, Inc.(NASDAQ 交易代號:AKAM)今天透過旗下的Prolexic安全工程及科研團隊(Prolexic Security Engineering & Research Team;PLXsert)發表新一份的網絡安全威脅報告。是次威脅是有關愈來愈多反射及擴大攻擊,是利用過期的路由選擇信息協議(Routing Information Protocol)第一版本(RIPv1)來發動。

RIPv1是甚麼?

RIPv1是利用小型及多路由器的網路,靈活地分享路由資訊的快速方法。首次被配置或使用的RIP路由器會發出一個典型的請求。由此,任何聽從該請求的裝置,會以廣播的形式發送路由的表列及更新。

Akamai資訊安全資深副總裁兼總經理Stuart Scholly表示:「這個版本的RIP協議在1988年,超過25年前RFC1058旗下發表。RIPv1在消失迎一年後重現,令人費解。這顯示了攻擊者利用對DDoS攻擊反射向量的熟悉程度。對於攻擊者而言,利用RIPv1的行為以發動DDoS反射攻擊是十分容易。他們透過一個正常的廣播查詢,單一的請求會成為惡意查詢,並直接被傳送到反射器。攻擊者其後便可以操作IP位址來源,以配合預期的攻擊目標,導致網絡受損。

利用RIPv1發動DDoS反射攻擊

PLXsert報告指出,攻擊者傾向針對RIPv1資料庫中,有大量路線的路由器。根據報告,絕大部份能辨認的攻擊都有查詢,導致向目標在同一個請求中,發出504 byte回應有效負載。典型的RIPv1請求只有一個24 byte有效負載,顯示攻擊者雖然發出一個較小的請求,但希望藉大量未經同意的請求,淹沒目標。

PLXsert研究了一個在2015年5月16日對Akamai客戶的實際攻擊個案。對於攻擊的研究及非侵入式掃瞄指出,被利用成為RIP反射攻擊的裝置,均不是企業等級的路由硬件。PLXsert警告,RIPv1的惡意設計,會繼續利用上述的方式,發動反射及放大的攻擊。

緩解威脅

如欲避免利用RIPv1的DDoS反射攻擊,可考慮以下技術:

  • 轉為RIPv2,或更新版本以啟動身份驗証
  • 使用受控制訪問表 (ACL) 以限制來自互聯網源端口520的用戶數據報協議 (UDP)

關於Akamai

Akamai®是領先全球的內容傳送網絡(Content Delivery Network; CDN)服務供應商,譲客戶的互聯網速度快捷、可靠及安全。Akamai先進的網絡性能、流動表現、雲端保安及媒體傳送方案,不論在任何地方及任何裝置上均能提供最優質的消費者、企業及娛樂體驗方面,爲企業帶來革命性的改變。

Comments are closed.