Удар із минулого DdoS-атака RIPv1, або чим небезпечні старі роутери

Атаки, які використовують застарілий протокол маршрутизації RIPv1, знову помітили з 16 травня 2015 року, після більш ніж річного забуття. Їх зафіксувала перша компанія Akamai, а за кілька днів — і DDoS-GUARD.

RIPv1 вперше був представлений в "історичному" RFC1045 (оригінальна специфікація більше не підтримується). Протокол підтримує лише класову маршрутизацію. Таким чином, якщо мережа, що анонсується за RIPv1, відноситься до класу «A» (наприклад, 10.1.2.0/24), то анонс, що реально відправляється, буде виглядати, як 10.0.0.0/8. Це, серед іншого, значно обмежує застосування RIPv1 внутрішніми мережами, малопридатний для Інтернету.

Основні характеристики аналізованої атаки

• обсяг трафіку: до 12,8 Гбіт • пакетів за секунду: до 3,2 млн • вектор атаки: ампліфікація RIPv1 • вихідний порт: UDP:520 • вхідний порт: випадковий

Протокол RIPv1 (Routing Information Protocol, версія 1) існує вже багато років і вважається швидким та легким способом обміну інформацією про маршрути в невеликій мережі з кількома маршрутизаторами.

Маршрутизатор, що підтримує RIP, відправляє запит при початковому налаштуванні або включенні живлення. Будь-який інший пристрій, який приймає такі запити, відповість списком маршрутів. Оновлення таблиці маршрутів періодично розсилаються широкомовно (broadcast).

На нижченаведеному лістингу RIP-відповіді взято з реальної атаки. З боку атакованого видно лише відповіді на запити RIPv1, які він, зрозуміло, не робив.

Типовий запит RIPv1 містить 24 байти. Наведена відповідь містить 504 байти. Даний конкретний маршрутизатор відповідає десятьма відповідями по 504 байти та однією в 164 байти.

удар

При обчисленні коефіцієнта посилення за вищенаведеними запитами, враховуючи заголовки IPv4 [IP(IP(10)UDP10) UDP(8)], остаточне посилення для одиночного запиту RIPv1 становить 131,24 (більше 13 000%). Коефіцієнт змінюватиметься в залежності від кількості маршрутів у таблиці роутера. Під час першої атаки, більшість роутерів відповідала множинними 504-байтовими відповідями на кожен запит.

Поверхневе сканування джерел атаки дозволяє припустити, що жертви, використані створення шторму RIP-ответов, користувалися примітивними маршрутизаторами (класу SOHO). Реалізований на них RIPv1 працює відповідно до специфікації, зловмисники просто використовують його особливості у своїх цілях.

ddos-атака

Чи може зловмисник додатково підвищити коефіцієнт посилення, змусивши маршрутизатор дізнатися про нові маршрути? Ідея видається реалізованою.АЛЕє три основних фактори, що заважають ефективному використанню такого сценарію в DdoS-атаках.

Перший фактор — «розщеплення горизонту», яке використовується за замовчуванням на деяких пристроях, що підтримують RIPv1. Простіше кажучи, маршрутизатор, який отримує оновлення маршрутів, не відправить його назад через той самий інтерфейс, через який отримав. Це означає, що пристрій, підключений до інтернету, не надсилатиме об'єкту атаки хибні маршрути. Однак він оновлюватиме ці маршрути, коли вони застаріють до 16-ї метрики.

Звідси випливає інший переважний чинник. Таблиці маршрутів часто очищаються, і занадто старі маршрути довго не зберігатимуться. З їх старінням буде потрібно чергове оновлення, щоб маршрутизатор їх зберіг. Наприклад, у пристроях Cisco маршрути, що надійшли з ін'єкцією, не з'являться, доки не стануть невикористовуваними (метрика 16)і збережуться лише 1 хвилину після того, як будуть помічені невикористовуваними, після чого будуть стерті з таблиці маршрутів.

Отже, знадобляться безперервні регулярні оновлення, щоб підтримувати «отруєння» таблиць. Потреба в ін'єкціях, що повторюються, призводить до падіння коефіцієнта посилення, оскільки замість одиночного 24-байтового запиту доведеться відправляти множинні анонси до 504 байт кожен (в залежності від числа маршрутів в ін'єкції), щоб підтримувати таблиці маршрутів у потрібному зловмиснику стані.

Все це разом робить спроби отруєння таблиць маршрутів RIPv1 невигідними та непривабливими для зловмисника.

За наявності локального доступу до пристрою (маршрутизатору) маршрутами можна маніпулювати в межах можливостей самого пристрою. Такий сценарій можливий у разі, коли керування марштуризатором доступне з обліковими даними за умовчанням або взагалі без посвідчення користувача. Такі недоліки у конфігуруванні маршрутизаторів зустрічаються частіше, ніж хотілося б.

Атака 16 травня 2015 року, з піковим навантаженням 12,81 Гбіт та 3,2 млн пакетів на секунду. У наведеній нижче таблиці навантаження, розбитої за географічним розташуванням джерел трафіку, видно, що найбільший трафік прийшов з Європи. Лондон та Франкфурт зафіксували, в сумі, до 4,75 Гбіт.

минулого

Результати сканування RIPv1 в інтернеті

За даними Akamai, на запити RIPv1 в інтернеті відгукнулося 53 693 пристрої. Хоча багато з них непридатні як підсилювачі DdoS, вони все одно вразливі для відбиття та інших атак через низьку захищеність протоколу. Загалом було ідентифіковано близько 500 унікальних джерел, які надсилали 504-байтові відповіді.

Більшість із 53 693 можливихджерел відповідають єдиним маршрутом — що робить їх звичайними «відбивачами» без додаткового посилення.

Розглядаючи розміри відповідей RIPv1, отриманих в інтернеті, видно досить велику кількість пристроїв, що забезпечують хоча б невеликий коефіцієнт посилення. Вдалося ідентифікувати 24212 пристроїв, що забезпечують посилення не менше 83%. У таблиці нижче наведено 5 найпоширеніших довжин пакетів, отриманих під час тестування.

старі

Інша цікава знахідка — у тому, що виявлені реалізації RIPv1 при отриманні неправильно структурованого запиту відповідають повідомленням, в якому немає реальної інформації про їх таблиці маршрутизації. Хоча це і нівелює посилення, зводячи атаку до простого відображення, такий ефект можна використовувати для маскування справжнього джерела шкідливого трафіку.

ripv1

ddos-атака

минулого

Більшість пристроїв географічно перебувають у США, як показано на наступному малюнку. Як згадувалося, джерела шкідливого трафіку, зафіксовані при недавніх атаках, в основному знаходилися в Європі. Це означає, що існує значний потенційний (поки що незадіяний) ресурс, який може бути використаний для атак з посиленням та відображенням.

ripv1

Розподіл джерел трафіку країнами показано на наступному малюнку. Поєднує їх те, що кожен із них у відповідь на запит повідомляє незвичайно велику кількість маршрутів.

ddos-атака

Рекомендовані заходи захисту

Для жертв таких атак, наприклад, джерел відбитого трафіку, існує кілька шляхів захисту від даного методу. Перехід на RIPv2 або пізніший, з використанням аутентифікації. Якщо необхідний RIPv1, переглянути необхідність підтримки RIPv1на зовнішніх інтерфейсах. Якщо він не потрібен, помітити зовнішні інтерфейси як пасивні для RIPv1 (де така функція підтримується). Доступ до RIP можна також обмежити за допомогою ACL, дозволивши доступ лише відомим маршрутизаторам.

Об'єкти атаки відбитим трафіком RIPv1 можуть використовувати ACL для заборони трафіку з вихідного порту UDP:520 в Інтернеті. Якщо атака занадто потужна, то можуть знадобитися послуги провайдера захисту від DdoS.

Список можливих векторів атаки чималий, і деякі контролювати складніше інших через їхнє поширення (наприклад, DNS, SSDP). Як вже було сказано, RIPv1 має певні можливості залишатися привабливим ресурсом для організації DDoS-атак. Більшість джерел цього ресурсу — застарілі маршрутизатори, які роками працюють у житлових будинках чи домашніх офісах.

Багато пристроїв Netopia добре це ілюструє. Провайдери не замінюватимуть раніше встановлене обладнання, якщо воно справно виконує свої функції. Якщо не виникає проблем – навіщо щось міняти?

Таким чином, у строю залишаються пристрої, що підтримують застарілі протоколи та містять відомі вразливості програмного забезпечення. На цю ситуацію найбільше впливатимуть провайдери. Перш за все слід закривати порт UDP:520 з боку інтернет. Це значно зменшить можливість реалізації описаних DDoS-атак. Інший варіант, дорожчий, полягає у організації апгрейду клієнтського устаткування, його заміни нові маршрутизатори (з коректними конфігураціями); це буде особливо актуальним для пристроїв, які більше не підтримуються виробниками.

Адаптований переклад підготовлений технічними фахівцями компанії DDoS-GUARD

Хардкорнаконфа по С++. Ми запрошуємо лише профі.