มีการค้นพบการโจมตีแบบใหม่ของ Denial-of-Service (DoS) ที่กําหนดเป้าหมายไปที่โปรโตคอล UDP ในระดับ application-layer ซึ่งมีแนวโน้มที่จะส่งผลให้ Host หลายแสนระบบตกอยู่ในความเสี่ยง
นักวิจัยจาก CISPA Helmholtz-Center for Information Security เรียกการโจมตีรูปแบบนี้ว่า Loop DoS โดยการจับคู่เซิร์ฟเวอร์ที่สื่อสารกันด้วยโปรโตคอลเหล่านี้ในลักษณะที่ไม่มีการจำกัด
โดยโปรโตคอล UDP ได้รับการออกแบบมาเป็นโปรโตคอลแบบ connectionless ที่จะไม่ทำการตรวจสอบ IP Address ต้นทาง ทำให้มีความเสี่ยงจากการปลอมแปลง IP ได้
ดังนั้นเมื่อผู้โจมตีปลอมแปลงแพ็กเก็ต UDP หลายแพ็กเก็ตและระบุ IP Address ต้นทางเป็น IP ของเหยื่อ เมื่อเซิร์ฟเวอร์ปลายทางตอบสนอง ก็จะทำให้เกิดการโจมตีแบบ Denial-of-Service (DoS)
การศึกษาล่าสุดพบว่าการใช้งานโปรโตคอล UDP บางอย่าง เช่น DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD, and Time อาจถูกใช้เป็นเครื่องมือเพื่อสร้าง Loop การโจมตีแบบต่อเนื่องได้ด้วยตนเอง
นักวิจัยระบุว่า การจับคู่เครือข่ายบริการทั้งสองในลักษณะที่ทั้งสองเครือข่ายตอบสนองต่อข้อความของกันและกันอย่างไม่มีการจำกัด ในการทำเช่นนั้นทั้งสองเครือข่ายต้องสร้างการรับส่งข้อมูลจำนวนมากซึ่งส่งผลให้เกิด denial-of-service สำหรับระบบ หรือเครือข่ายที่เกี่ยวข้อง ดังนั้นเมื่อเริ่มการโจมตี และลูปเริ่มทำงาน แม้แต่ผู้โจมตีก็ไม่สามารถหยุดการโจมตีนี้ได้
กล่าวง่าย ๆ ก็คือ เนื่องจากแอปพลิเคชันเซิร์ฟเวอร์สองตัวที่ใช้โปรโตคอลเวอร์ชันที่มีช่องโหว่ ผู้โจมตีจึงสามารถเริ่มต้นเชื่อมต่อกับเซิร์ฟเวอร์เครื่องแรกได้โดยการปลอมแปลง IP Address ของเซิร์ฟเวอร์เครื่องที่สอง ทำให้เซิร์ฟเวอร์เครื่องแรกตอบสนองต่อเหยื่อ พร้อมกับแสดงข้อความข้อผิดพลาด
ในทางกลับกัน เครื่องเซิร์ฟเวอร์ของเหยื่อก็จะตอบสนองในลักษณะที่คล้ายกัน โดยส่งข้อความแสดงข้อผิดพลาดอีกครั้งไปยังเซิร์ฟเวอร์เครื่องแรก ทำให้ทรัพยากรของทั้งสองเครื่องถูกใช้งานอย่างเต็มที่ จึงทำให้ Service บางอย่างของเครื่องไม่สามารถทำงานได้
Yepeng Pan และ Christian Rossow ระบุว่า ถ้าเกิดข้อผิดพลาดที่อินพุตก็จะส่งผลให้เกิดข้อผิดพลาดที่เอาต์พุตด้วย และทั้งสองระบบที่มีพฤติกรรมเหมือนกันนี้ จะส่งข้อความแสดงข้อผิดพลาดกลับไปกลับมาแบบไม่มีจำกัด
CISPA ระบุว่า Host ประมาณ 300,000 กว่าแห่ง และเครือข่ายต่าง ๆ อาจถูกนำไปใช้ในทางที่ผิดเพื่อดำเนินการโจมตีแบบ Loop DoS นี้
แม้ว่าขณะนี้ยังไม่มีหลักฐานว่ามีการโจมตีในลักษณะดังกล่าว แต่นักวิจัยเตือนว่าการใช้ประโยชน์จากการโจมตีดังกล่าวทำได้ค่อนข้างง่าย ซึ่งจะกระทบกับผลิตภัณฑ์ต่าง ๆ จากทั้ง Broadcom, Cisco, Honeywell, Microsoft, MikroTik และ Zyxel
นักวิจัยตั้งข้อสังเกตว่า "ผู้โจมตีต้องการ Host ที่สามารถปลอมแปลงได้เพียง Host เดียวเพื่อทำให้เกิดลูป" "ด้วยสาเหตุนี้ สิ่งสำคัญคือต้องเริ่มใช้งานการตรวจสอบการรับส่งข้อมูลที่ถูกปลอมแปลง เช่น BCP38"
ที่มา : thehackernews
You must be logged in to post a comment.