Обнаружен способ использовать пользователей BitTorrent в качестве агентов DDOS-атаки

    image

    Специалисты по компьютерной безопасности из Лондонского городского университета опубликовали работу под драматичным названием «Пиринговый файловый обмен из ада: использование уязвимостей BitTorrent для запуска распределённых отражённых атак на отказ в обслуживании». В работе они поясняют, как им удалось заставить распространённые BitTorrent-клиенты участвовать в DRDOS атаках на интернет-сервера.

    Атака DRDOS (не путать с операционной системой DR-DOS) состоит в том, чтобы отправлять на различные сервера очень много таких запросов, на которые эти сервера должны отвечать. При этом ip-адрес отправителя подделывается и заменяется на адрес жертвы. В результате все ответы валятся на сервер-жертву. Если количество запросов сделать слишком большим, сервер будет испытывать трудности с их обработкой.

    Исследователи нашли недочёт в протоколе BitTorrent, который затрагивает uTP, DHT, Message Stream Encryption и BitTorrent Sync. Он позволяет не только закидать сервер-жертву ненужными ему запросами, но и увеличить трафик в 50 раз по отношению к потраченному (а в случае BTSync — и во все 120 раз). Их метод ищет компьютеры раздающих, отправляет им приветственный запрос, а вместо обратного адреса подсовывает адрес сервера, который необходимо атаковать.

    Исследователи уже сообщили об уязвимости разработчикам BitTorrent, и те работают над патчами для различных продуктов. Но, естественно, моментально заменить все работающие с этим протоколом клиенты не представляется возможным. Пользователи старых клиентов могут стать соучастниками атаки, сами не подозревая этого — у них просто увеличится исходящий трафик.

    Классические DDoS-атаки обычно организовывают через ботнет — сеть компьютеров, ставших подконтрольными злоумышленнику благодаря работе вирусов-троянов. Такие сети используют как для массовой рассылки спам-сообщений, так и для вывода из строя интернет-серверов путём отправки чрезмерного количества запросов.
    Поделиться публикацией

    Комментарии 22

      +3
      Учитывая, как в новых версиях колбасили интерфейс, добавляли ненужные сервисы, spyware и bitcoin-майнеры, многие останутся на версиях 3.1.2 или даже классической 1.8.4

      Таким образом, эта атака долго будет актуальной.
        +3
        На открытые проекты давно пора валить с этой помойки
          0
          Бросить over 300 раздач, или ручками каждую переносить, или у какой-то непомойки есть визард импорта из мюторрента?
            +2
            Как много дистрибутивов вы поддерживаете… Я вот только mint раздаю, 13ый и 17.2 в 32 и 64 бита.
              0
              Я ручками перенес все свои раздачи в qBittorent, 270 штук. Еще в нем есть окошко импорта — указывается путь к .torrent-файлу и папке с данными + возможность пропустить перепроверку хеша. Правда по одной штуке.
                +2
                Я не пойму, какой вам импорт нужен, и при чём тут мюторрент? Из вашего первого комментария мне сначала вообще было непонятно, о каком клиенте вы говорите. У вас торрент-файлы и закачки на месте, а значит максимум, что вас ожидает — это речек.
                  +2
                  Не только речек. В том и проблема, у меня, например, в клиенте ~1150 раздач в одном и почти 800 в другом и общим объёмом около 7 ТБ. Почти все они загружались в упорядоченные расположения, с нужными мне именами и исключением из закачки лишних файлов, а внутри самих раздач многие файлы, например субтитры, также переложены, т. е. для перехода нужен либо конвертор БД мюторрента для импорта в другое приложение, либо никак. Ручной вариант я даже не рассматриваю ибо это вешалка. Проблема усугубляется тем, что людей с подобными проблемами много.
                    0
                    Напишите скрипт переноса
                      0
                      Я излечился, когда полетела ОС и я был даже рад этому!
                    +1
                    qBittorent достаточно указать папку с .torrent файлами, он сам все перенесет.
                      0
                      Если данные в одной папке лежат — да. Если рассортированы по подпапкам так просто не получится.
                        0
                        ну, если человеку было не лень расбрасывать торрент файлы по подпапкам, то такой вариант конечно не поможет…
                          0
                          Нет, не .torrent-файлы, а скачанный контент.
                  0
                  Менять старый-добрый 2.0.4 на что-то более новое? Да ни за что в жизни, учитывая во что оно превратилось.
                    +5
                    Попробуйте qbittorent. Можно и инсталятор старой версии таскать, но я придерживаюсь того что от использования продукции подобных компаний надо просто отказываться и других агитировать. Глядишь других остановит от такого свинского отношения к своим пользователям.
                      +2
                      Чем он лучше старого uTorrent? Например, могу сказать, что с uTorrent 1.8 я перешел на 2.0.4 только из-за улучшенного кэширования. uTP отключен, пользы от него 0, только роутер загружает, эксперименты показали отсутствие прироста скорости. Сидел бы с 1.6.1 (последняя версия, которую делали независимые разработчики), но на некоторых трекерах он почему-то забанен. А при виде новых версий uTorrent аж блевать хочется и я не понимаю, что людей заставляет пользоваться этим. 2.0.4 замечательно выполняет свою работу (качает и раздает), не занимается ничем лишним, имеет небольшой размер и малое потребление ресурсов. Vuze тоже кошмарен и ужасен, даже когда он 10 лет назад назывался Azureus он был перегружен лишними функциями.
                        +1
                        > Чем он лучше старого uTorrent?

                        Например, тем, что вы не будете создавать проблемы окружающим, используя уязвимое ПО.
                    +6
                    Меня немного коробит, когда люди путают протокол и клиент, сей час переехал на QBittorrent.
                    +1
                    Я думал там что-то более умное. А там всё та же подделка обратного адреса в надежде что на него пульнут пакет побольше.
                      0
                      Писал про это уже не раз и повторюсь ещё:
                      У меня в сборке, где помимо патча клиента от мусора ещё добавлены более разумные настройки

                      https://toster.ru/q/167191#comment_785580

                      в настройки включена опция запрещающая соединения на порты популярных сервисов. Полностью избавиться от последствий описанной в топике уязвимости это не поможет ибо можно просто рассылать мусор по любым портам однако нагрузку на работающие на типовых портах сервисы уберёт:

                      Всем пользователям настоятельно советую прописать такие же настройки:

                      bt.no_connect_to_services_list=1,4,20,21,22,23,24,25,43,53,69,80,81,82,110,123,135,137,138,139,143,161,162,179,194,264,411,412,443,445,465,587,593,989,990,992,993,995,1027,1080,1194,1200,1293,1721,1723,3128,3724,3389,3544,3899,4080,4081,4090,4500,4899,5004,5005,5800,5900,5938,6665,6666,6667,6668,6669,6679,6697,8008,8080,8090,8118,8123,9030,9050,9051,9150
                        +2
                        Сталкивался с атакой торрент-клиентами ещё в 2003 году. На 80 порт веб-сервиса повалили запросы, явно адресованные торрент-трекеру. Выкрутился белым списком файрвола.
                          0
                          Кстати как вариант для DHT перед отправкой большого пакета отправить ping и после корректного ответа отправить его.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое