Специалисты по компьютерной безопасности из Лондонского городского университета опубликовали работу под драматичным названием «Пиринговый файловый обмен из ада: использование уязвимостей BitTorrent для запуска распределённых отражённых атак на отказ в обслуживании». В работе они поясняют, как им удалось заставить распространённые BitTorrent-клиенты участвовать в DRDOS атаках на интернет-сервера.
Атака DRDOS (не путать с операционной системой DR-DOS) состоит в том, чтобы отправлять на различные сервера очень много таких запросов, на которые эти сервера должны отвечать. При этом ip-адрес отправителя подделывается и заменяется на адрес жертвы. В результате все ответы валятся на сервер-жертву. Если количество запросов сделать слишком большим, сервер будет испытывать трудности с их обработкой.
Исследователи нашли недочёт в протоколе BitTorrent, который затрагивает uTP, DHT, Message Stream Encryption и BitTorrent Sync. Он позволяет не только закидать сервер-жертву ненужными ему запросами, но и увеличить трафик в 50 раз по отношению к потраченному (а в случае BTSync — и во все 120 раз). Их метод ищет компьютеры раздающих, отправляет им приветственный запрос, а вместо обратного адреса подсовывает адрес сервера, который необходимо атаковать.
Исследователи уже сообщили об уязвимости разработчикам BitTorrent, и те работают над патчами для различных продуктов. Но, естественно, моментально заменить все работающие с этим протоколом клиенты не представляется возможным. Пользователи старых клиентов могут стать соучастниками атаки, сами не подозревая этого — у них просто увеличится исходящий трафик.
Классические DDoS-атаки обычно организовывают через ботнет — сеть компьютеров, ставших подконтрольными злоумышленнику благодаря работе вирусов-троянов. Такие сети используют как для массовой рассылки спам-сообщений, так и для вывода из строя интернет-серверов путём отправки чрезмерного количества запросов.
Комментарии (22)
ivan386
16.08.2015 21:44+1Я думал там что-то более умное. А там всё та же подделка обратного адреса в надежде что на него пульнут пакет побольше.
IRainman
17.08.2015 12:31Писал про это уже не раз и повторюсь ещё:
У меня в сборке, где помимо патча клиента от мусора ещё добавлены более разумные настройки
https://toster.ru/q/167191#comment_785580
в настройки включена опция запрещающая соединения на порты популярных сервисов. Полностью избавиться от последствий описанной в топике уязвимости это не поможет ибо можно просто рассылать мусор по любым портам однако нагрузку на работающие на типовых портах сервисы уберёт:
Всем пользователям настоятельно советую прописать такие же настройки:
bt.no_connect_to_services_list=1,4,20,21,22,23,24,25,43,53,69,80,81,82,110,123,135,137,138,139,143,161,162,179,194,264,411,412,443,445,465,587,593,989,990,992,993,995,1027,1080,1194,1200,1293,1721,1723,3128,3724,3389,3544,3899,4080,4081,4090,4500,4899,5004,5005,5800,5900,5938,6665,6666,6667,6668,6669,6679,6697,8008,8080,8090,8118,8123,9030,9050,9051,9150
rdc
17.08.2015 15:18+2Сталкивался с атакой торрент-клиентами ещё в 2003 году. На 80 порт веб-сервиса повалили запросы, явно адресованные торрент-трекеру. Выкрутился белым списком файрвола.
ivan386
19.08.2015 15:02Кстати как вариант для DHT перед отправкой большого пакета отправить ping и после корректного ответа отправить его.
qw1
Учитывая, как в новых версиях колбасили интерфейс, добавляли ненужные сервисы, spyware и bitcoin-майнеры, многие останутся на версиях 3.1.2 или даже классической 1.8.4
Таким образом, эта атака долго будет актуальной.
Meklon
На открытые проекты давно пора валить с этой помойки
qw1
Бросить over 300 раздач, или ручками каждую переносить, или у какой-то непомойки есть визард импорта из мюторрента?
GAS_85
Как много дистрибутивов вы поддерживаете… Я вот только mint раздаю, 13ый и 17.2 в 32 и 64 бита.
TheRaven
Я ручками перенес все свои раздачи в qBittorent, 270 штук. Еще в нем есть окошко импорта — указывается путь к .torrent-файлу и папке с данными + возможность пропустить перепроверку хеша. Правда по одной штуке.
dbanet
Я не пойму, какой вам импорт нужен, и при чём тут мюторрент? Из вашего первого комментария мне сначала вообще было непонятно, о каком клиенте вы говорите. У вас торрент-файлы и закачки на месте, а значит максимум, что вас ожидает — это речек.
IRainman
Не только речек. В том и проблема, у меня, например, в клиенте ~1150 раздач в одном и почти 800 в другом и общим объёмом около 7 ТБ. Почти все они загружались в упорядоченные расположения, с нужными мне именами и исключением из закачки лишних файлов, а внутри самих раздач многие файлы, например субтитры, также переложены, т. е. для перехода нужен либо конвертор БД мюторрента для импорта в другое приложение, либо никак. Ручной вариант я даже не рассматриваю ибо это вешалка. Проблема усугубляется тем, что людей с подобными проблемами много.
Vinchi
Напишите скрипт переноса
MiXaiL27
Я излечился, когда полетела ОС и я был даже рад этому!
reimax
qBittorent достаточно указать папку с .torrent файлами, он сам все перенесет.
TheRaven
Если данные в одной папке лежат — да. Если рассортированы по подпапкам так просто не получится.
reimax
ну, если человеку было не лень расбрасывать торрент файлы по подпапкам, то такой вариант конечно не поможет…
TheRaven
Нет, не .torrent-файлы, а скачанный контент.
ShadowMaster
Менять старый-добрый 2.0.4 на что-то более новое? Да ни за что в жизни, учитывая во что оно превратилось.
FazZzuR
Попробуйте qbittorent. Можно и инсталятор старой версии таскать, но я придерживаюсь того что от использования продукции подобных компаний надо просто отказываться и других агитировать. Глядишь других остановит от такого свинского отношения к своим пользователям.
ShadowMaster
Чем он лучше старого uTorrent? Например, могу сказать, что с uTorrent 1.8 я перешел на 2.0.4 только из-за улучшенного кэширования. uTP отключен, пользы от него 0, только роутер загружает, эксперименты показали отсутствие прироста скорости. Сидел бы с 1.6.1 (последняя версия, которую делали независимые разработчики), но на некоторых трекерах он почему-то забанен. А при виде новых версий uTorrent аж блевать хочется и я не понимаю, что людей заставляет пользоваться этим. 2.0.4 замечательно выполняет свою работу (качает и раздает), не занимается ничем лишним, имеет небольшой размер и малое потребление ресурсов. Vuze тоже кошмарен и ужасен, даже когда он 10 лет назад назывался Azureus он был перегружен лишними функциями.
ximaera
> Чем он лучше старого uTorrent?
Например, тем, что вы не будете создавать проблемы окружающим, используя уязвимое ПО.
MiXaiL27
Меня немного коробит, когда люди путают протокол и клиент, сей час переехал на QBittorrent.