Эксперты обнаружили уязвимость в пиринговых протоколах Micro Transport Protocol (uTP), Distributed Hash Table (DHT) и Message Stream Encryption (MSE). Она позволяет осуществлять DDoS-атаки, которые задействуют компьютеры рядовых пользователей с установленным и запущенным торрент-клиентом. Такая проблема была выявлена также в клиенте BitTorrent Sync – он увеличивал трафик в 129 раз.
Результаты анализа исследователи из Великобритании и Германии опубликовали на сайте организации USENIX. По их мнению, пиринговые протоколы, содержащие уязвимость, не имеют механизмов защиты от IP-спуфинга – хакерских атак, при организации которых IP-адрес жертвы заменяется IP-адресом атакующего. Это позволяет задействовать ПК, на которых запущены торрент-клиенты, для усиления проводимой DDoS-атаки.
Сама же атака осуществляется следующим образом: злоумышленник отправляет запрос на инициализацию пирингового соединения на ПК пользователей, на которых запущен торрент-клиент. При этом IP-адрес компьютера, с которого инициализируется атака, заменяется на IP-адрес компьютера-жертвы. При получении запроса торрент-клиент делает попытки установки соединения с компьютером жертвы, ведь в качестве источника указывается именно его адрес. Особенность клиентов – в том, что в ответном сообщении ими отправляется значительное количество информации.
Если же с целевого IP-адреса торрент-клиент ответа не дожидается, то до прекращения попыток установки соединения он ещё несколько раз отправляет запрос, что позволяет многократно повысить объем трафика, который отправляется на атакуемый узел. При этом компьютер, который инициализирует атаку, отправляет лишь один пакет данных, который и запускает процесс. Отметим, что местоположение компьютера, инициализирующего атаку, скрывается, ведь трафик отправляется усилителями и отражателями (компьютерами рядовых пользователей).
Впрочем, не только BitTorrent Sync оказался торрент-клиентом, содержащим уязвимость. Так, Vuze продемонстрировал увеличение трафика в 54,3 раза, а официальные клиенты BitTorrent и uTorrent – в 39,6 раз. Наиболее безопасными эксперты назвали программы Transmission и LibTorrent – для них коэффициенты увеличения трафика составили 4 и 5,2 раза соответственно.
Ксения Шестакова, ht_news@corp.mail.ru