Ataques DRDOS via BitTorrent

DRDOS (Negação de Serviço Reflexiva Distribuída). O Sr. Florian Adamsky, da Universidade de Londres, publicou um trabalho de pesquisa detalhando a família de protocolos usados ​​pelos clientes BitTorrent e pode ser abusado para realizar ataques DRDOS.

hacker DRDOS

A maioria de nós tem uma idéia básica do que é um ataque DDOS, mas um ataque DRDOS é um pouco diferente.

Enquanto em um ataque DDOS, um hacker controla uma série de computadores zumbis que criam tráfego excessivo em um alvo, resultando no “entupimento” do alvo e não sendo mais acessível a terceiros, em um DRDOS, o invasor cria tráfego em um equipamento de rede legítimo. (chamado espelho), a partir do qual retransmite o tráfego para a vítima.

O movimento enviado ao espelho é forjado e contém o endereço IP da vítima como fonte do pacote. Quando o espelho (ou se você deseja o refletor) segue as regras gerais dos protocolos da Internet e tenta criar uma conexão, ele o faz com O IP da vítima, em vez do intruso.

Além disso, além de enviar tráfego para um espelho, os atacantes criaram maneiras de usar o espelho para melhorar o tráfego.

Os protocolos amplamente usados ​​em ataques DRDOS são TCP, DNS e NTP. A pesquisa de Adamsky mostra quantos protocolos podem ser usados ​​pela família BitTorrent em ataques DRDOS, mesmo com a capacidade de aprimorar o tráfego.

Segundo Adamsky, os protocolos BitTorrent afetados são: UTP (Micro Transport Protocol), DHT (Distributed Hash Table) e MSE (Message Stream Encryption). Estes são os protocolos usados ​​nas aplicações BitTorrent, uTorrent e Vuze.

Além disso, o protocolo de sincronização BTSync usado com o aplicativo de compartilhamento de arquivos BitTorrent Sync também é vulnerável.

“Nossas experiências mostram que o BitTorrent tem um fator de amplificação de largura de banda (BAF) 50 vezes maior e, no caso do BTSync, é até 120 vezes maior”, disse Florian Adamsky.

Mas as más notícias não param por aí. Além do aprimoramento do tráfego, os ataques DRDOS via BitTorrent são detectáveis ​​com firewalls normais devido ao “intervalo de portas dinâmicas e criptografia durante o manuseio”

Os serviços de mitigação para esse tipo de ataque provavelmente exigiriam a inspeção profunda de pacotes (DPI), uma solução que “consome” muitos recursos para a maioria das infra-estruturas de servidores.

Segundo o TorrentFreak, alguns desses problemas foram corrigidos em uma versão beta recente do BitTorrent, enquanto o Vuze e o uTorrent ainda estão vulneráveis.