Атаки с использованием устаревшего протокола маршрутизации RIPv1 были снова замечены с 16 мая 2015 года, после более чем года безвестности.
Сначала их обнаружил Akamai, а через пару дней — DDoS-GUARD. RIPv1 был впервые представлен в «историческом» RFC1045 (исходная спецификация больше не поддерживается).
Протокол поддерживает только классовую маршрутизацию.
Таким образом, если рекламируемая по RIPv1 сеть принадлежит классу «А» (например, 10.1.2.0/24), то фактическое отправленное объявление будет выглядеть как 10.0.0.0/8. Это, помимо прочего, существенно ограничивает использование RIPv1 внутренними сетями; для Интернета это малоприменимо.
Основные характеристики рассматриваемой атаки
• объем трафика: до 12,8 Гбит
• пакетов в секунду: до 3,2 миллиона
• Вектор атаки: усиление RIPv1.
• исходящий порт: UDP:520
• входящий порт: случайный 
RIPv1 (протокол информации о маршрутизации версии 1) существует уже много лет и считается быстрым и простым способом обмена информацией о маршрутизации в небольшой сети с несколькими маршрутизаторами.
Маршрутизатор, поддерживающий RIP, отправляет запрос во время первоначальной настройки или при включении.
Любое другое устройство, получающее такие запросы, ответит списком маршрутов.
Обновления таблицы маршрутов периодически рассылаются посредством широковещательной рассылки.
Чтобы изменить поведение RIPv1 для проведения DDoS-атаки, злоумышленник может отправить тот же запрос, заменив исходящий IP-адрес цели атаки.
Получатели выбираются из заранее подготовленного списка маршрутизаторов, поддерживающих RIPv1, имеющих в своих таблицах подозрительно большое количество маршрутов.
В результате одного запроса генерируется большое количество пакетов с полезной нагрузкой размером 504 байта, которые отправляются на атакуемый адрес.
На один запрос может быть отправлено несколько ответов из-за ограничения в 25 маршрутов на пакет RIP. Ответы RIP в листинге ниже взяты из реальной атаки.
Со стороны злоумышленника видны только ответы на запросы RIPv1, которых он, естественно, не делал.
Загрузить примеры Типичный запрос RIPv1 содержит 24 байта.
Данный ответ содержит 504 байта.
Этот конкретный маршрутизатор отвечает десятью ответами по 504 байта и одним по 164 байта.
При расчете выигрыша от приведенных выше запросов с учетом заголовков Ipv4 [IP(IP(10)UDP10)UDP(8)] итоговый выигрыш для одного запроса RIPv1 составит 131,24 (более 13 000%).
Коэффициент будет меняться в зависимости от количества маршрутов в таблице маршрутизации.
Во время первой атаки большинство маршрутизаторов ответили несколькими 504-байтовыми ответами на каждый запрос.
Беглый просмотр источника атаки позволяет предположить, что жертвы, использованные для создания ответного шторма RIP, использовали примитивные маршрутизаторы (класс SOHO).
Реализованный на них RIPv1 работает в соответствии со спецификацией; злоумышленники просто используют его возможности в своих целях.
«Отравление» RIPv1
Может ли злоумышленник еще больше увеличить выигрыш, заставив маршрутизатор изучать новые маршруты? Идея кажется осуществимой.
НО Существует три основных фактора, которые мешают эффективному использованию этого сценария в DDoS-атаках.
Первый фактор — это разделенный горизонт, который используется по умолчанию на некоторых устройствах, поддерживающих RIPv1. Проще говоря, маршрутизатор, получивший обновление маршрутизации, не отправит его обратно через тот же интерфейс, на котором он его получил.
Это означает, что устройство, подключенное к Интернету, не будет отправлять ложные маршруты к цели атаки.
Однако он обновит эти маршруты, когда они устареют до 16-й метрики.
Это приводит к еще одному подавляющему фактору.
Таблицы маршрутов часто очищаются, а слишком старые маршруты не сохраняются долго.
Поскольку они устаревают, маршрутизатору потребуется еще одно обновление, чтобы сохранить их.
Например, на устройствах Cisco введенные маршруты не будут отображаться до тех пор, пока они не станут неиспользуемыми (показатель 16), и будут сохраняться только в течение 1 минуты после того, как будут помечены как неиспользуемые, после чего они будут удалены из таблицы маршрутов.
Таким образом, потребуются постоянные регулярные обновления для поддержания «отравления» таблиц.
Необходимость повторных инъекций приводит к падению выигрыша, так как вместо одного 24-байтового запроса для поддержания маршрута придется отправлять несколько рекламных объявлений размером до 504 байт каждый (в зависимости от количества маршрутов во внедрении).
таблицы в нужном злоумышленнику состоянии.
Третья проблема заключается в том, что ответы RIPv1, поступающие из сетей, не подключенных напрямую к маршрутизатору, будут игнорироваться.
Это означает, что адрес источника обновления необходимо подделать, чтобы он попал в сеть, напрямую связанную с «отравленным» роутером, чтобы обновление было хотя бы просто принято.
Все это в совокупности делает попытки отравления таблиц маршрутов RIPv1 невыгодными и непривлекательными для злоумышленника.
Если у вас есть локальный доступ к устройству (маршрутизатору), маршрутами можно манипулировать в пределах возможностей самого устройства.
Этот сценарий возможен, когда управление маршрутизатором доступно с учетными данными по умолчанию или вообще без удостоверения пользователя.
Подобные недостатки в настройке роутера встречаются чаще, чем хотелось бы.
Атака, о которой идет речь Атака 16 мая 2015 года с пиковой нагрузкой 12,81 Гбит и 3,2 миллиона пакетов в секунду.
В приведенной ниже таблице загрузки с разбивкой по географическому расположению источников трафика видно, что самый большой трафик пришел из Европы.
В Лондоне и Франкфурте суммарно зафиксировано до 4,75 Гбит. 
Результаты Интернет-сканирования RIPv1
По данным Akamai, всего на запросы RIPv1 в Интернете ответили 53 693 устройства.
Хотя многие из них непригодны в качестве усилителей DDoS, они по-прежнему уязвимы для отражения и других атак из-за низкой безопасности протокола.
В целом было выявлено около 500 уникальных источников, приславших 504-байтовые ответы.
Большинство из 53 693 возможных источников отвечают по одному пути, что делает их обычными «отражателями» без дополнительного усиления.
Глядя на размер ответов RIPv1, полученных в Интернете, можно заметить достаточно большое количество устройств, обеспечивающих хотя бы небольшой выигрыш.
Нам удалось идентифицировать 24 212 устройств, что обеспечило прирост не менее 83%.
В таблице ниже показаны 5 наиболее распространенных длин пакетов, полученных в ходе тестирования.
Еще одним интересным открытием является то, что обнаруженные реализации RIPv1 при получении неправильно структурированного запроса отвечают сообщением, не содержащим реальной информации об их таблицах маршрутизации.
Хотя это и сводит на нет положительный эффект, сводя атаку к простому отклонению, этот эффект можно использовать.
скрыть истинный источник вредоносного трафика .
Идентифицированные адреса были отсортированы для определения моделей устройств.
Из 53 693 устройств, ответивших на запрос, более 20 000 также прослушивали порт TCP:80 (часто используемый интерфейсом веб-администратора).
Была предпринята попытка извлечь и записать результаты запросов на предмет утечки информации о модели (запросы аутентификации, HTTP-заголовки, номера моделей на домашних страницах и т. д.).
Ниже приведены три наиболее распространенных устройства (среди обнаруженных), поддерживающих RIPv1. Устройства Netopia, вероятно, являются устаревшим оборудованием, которое стало популярным во время бума ADSL. 
На следующем рисунке показано распределение по провайдерам (на основе ответов whois) адресов обнаруженных устройств Netopia. Большинство из них используются клиентами AT&T. 
Большинство устройств географически расположены в США, как показано на следующем рисунке.
Как упоминалось выше, источники вредоносного трафика, обнаруженные в ходе недавних атак, в основном находились в Европе.
Это означает, что существует значительный потенциальный (пока неиспользованный) ресурс, который можно использовать для атак с усилением и отражением.
Распределение источников трафика по странам показано на следующем рисунке.
Их объединяет то, что каждый из них сообщает необычно большое количество маршрутов в ответ на запрос.
Рекомендуемые меры защиты
Для жертв таких атак, например источников «отраженного» трафика, существует несколько способов защиты от этого метода.
Перейдите на RIPv2 или более позднюю версию, используя аутентификацию.
Если требуется RIPv1, еще раз рассмотрите необходимость поддержки RIPv1 на внешних интерфейсах.
Если он там не нужен, отметьте внешние интерфейсы как пассивные для RIPv1 (там, где такая функция поддерживается).
Доступ к RIP также можно ограничить с помощью списков ACL, разрешая доступ только к известным маршрутизаторам.
Цели атаки с отраженным трафиком RIPv1 могут использовать списки ACL для запрета трафика от исходящего порта UDP:520 в Интернете.
Если атака слишком мощная, то могут потребоваться услуги провайдера защиты от DDoS. выводы Список возможных векторов атак значителен, и некоторые из них сложнее контролировать, чем другие из-за их повсеместного распространения (например, DNS, SSDP).
Как уже говорилось, RIPv1 имеет определенные возможности оставаться привлекательным ресурсом для организации DDoS-атак.
Большинство источников этого ресурса — устаревшие маршрутизаторы, которые уже много лет работают в домах или домашних офисах.
Большое количество устройств Netopia хорошо это иллюстрирует. Провайдеры не будут заменять ранее установленное оборудование, если оно исправно выполняет свои функции.
Если проблем нет, зачем что-то менять? Таким образом, устройства, поддерживающие устаревшие протоколы и содержащие известные уязвимости программного обеспечения, остаются в эксплуатации.
Наибольшее влияние на эту ситуацию окажут провайдеры.
Прежде всего, вам следует закрыть порт UDP:520 со стороны Интернета.
Это существенно снизит возможность реализации описанных DDoS-атак.
Другой вариант, более затратный – организовать апгрейд клиентского оборудования с заменой его на новые роутеры (с правильной конфигурацией); особенно это будет актуально для устройств, которые больше не поддерживаются производителями.
Адаптированный перевод подготовили технические специалисты компании.
DDoS-ГАРД Теги: #ddos #ddos-атака #ddos-защита #ddos-защита #ripv1 #информационная безопасность
-
Компьютеры Ускоряются
19 Oct, 24 -
Настройка Многомодульных Проектов
19 Oct, 24 -
Две Ошибки В Блогах И Rss-Каналах
19 Oct, 24 -
Samsung Анонсирует Выход Chromebook 2 В Мае
19 Oct, 24
