image

Специалисты по компьютерной безопасности из Лондонского городского университета опубликовали работу под драматичным названием «Пиринговый файловый обмен из ада: использование уязвимостей BitTorrent для запуска распределённых отражённых атак на отказ в обслуживании». В работе они поясняют, как им удалось заставить распространённые BitTorrent-клиенты участвовать в DRDOS атаках на интернет-сервера.

Атака DRDOS (не путать с операционной системой DR-DOS) состоит в том, чтобы отправлять на различные сервера очень много таких запросов, на которые эти сервера должны отвечать. При этом ip-адрес отправителя подделывается и заменяется на адрес жертвы. В результате все ответы валятся на сервер-жертву. Если количество запросов сделать слишком большим, сервер будет испытывать трудности с их обработкой.

Исследователи нашли недочёт в протоколе BitTorrent, который затрагивает uTP, DHT, Message Stream Encryption и BitTorrent Sync. Он позволяет не только закидать сервер-жертву ненужными ему запросами, но и увеличить трафик в 50 раз по отношению к потраченному (а в случае BTSync — и во все 120 раз). Их метод ищет компьютеры раздающих, отправляет им приветственный запрос, а вместо обратного адреса подсовывает адрес сервера, который необходимо атаковать.

Исследователи уже сообщили об уязвимости разработчикам BitTorrent, и те работают над патчами для различных продуктов. Но, естественно, моментально заменить все работающие с этим протоколом клиенты не представляется возможным. Пользователи старых клиентов могут стать соучастниками атаки, сами не подозревая этого — у них просто увеличится исходящий трафик.

Классические DDoS-атаки обычно организовывают через ботнет — сеть компьютеров, ставших подконтрольными злоумышленнику благодаря работе вирусов-троянов. Такие сети используют как для массовой рассылки спам-сообщений, так и для вывода из строя интернет-серверов путём отправки чрезмерного количества запросов.

Комментарии (22)


  1. qw1
    16.08.2015 21:38
    +3

    Учитывая, как в новых версиях колбасили интерфейс, добавляли ненужные сервисы, spyware и bitcoin-майнеры, многие останутся на версиях 3.1.2 или даже классической 1.8.4

    Таким образом, эта атака долго будет актуальной.


    1. Meklon
      16.08.2015 23:10
      +3

      На открытые проекты давно пора валить с этой помойки


      1. qw1
        17.08.2015 08:12

        Бросить over 300 раздач, или ручками каждую переносить, или у какой-то непомойки есть визард импорта из мюторрента?


        1. GAS_85
          17.08.2015 10:44
          +2

          Как много дистрибутивов вы поддерживаете… Я вот только mint раздаю, 13ый и 17.2 в 32 и 64 бита.


        1. TheRaven
          17.08.2015 10:54

          Я ручками перенес все свои раздачи в qBittorent, 270 штук. Еще в нем есть окошко импорта — указывается путь к .torrent-файлу и папке с данными + возможность пропустить перепроверку хеша. Правда по одной штуке.


        1. dbanet
          17.08.2015 11:40
          +2

          Я не пойму, какой вам импорт нужен, и при чём тут мюторрент? Из вашего первого комментария мне сначала вообще было непонятно, о каком клиенте вы говорите. У вас торрент-файлы и закачки на месте, а значит максимум, что вас ожидает — это речек.


          1. IRainman
            17.08.2015 12:38
            +2

            Не только речек. В том и проблема, у меня, например, в клиенте ~1150 раздач в одном и почти 800 в другом и общим объёмом около 7 ТБ. Почти все они загружались в упорядоченные расположения, с нужными мне именами и исключением из закачки лишних файлов, а внутри самих раздач многие файлы, например субтитры, также переложены, т. е. для перехода нужен либо конвертор БД мюторрента для импорта в другое приложение, либо никак. Ручной вариант я даже не рассматриваю ибо это вешалка. Проблема усугубляется тем, что людей с подобными проблемами много.


            1. Vinchi
              18.08.2015 07:37

              Напишите скрипт переноса


            1. MiXaiL27
              18.08.2015 07:38

              Я излечился, когда полетела ОС и я был даже рад этому!


        1. reimax
          17.08.2015 12:05
          +1

          qBittorent достаточно указать папку с .torrent файлами, он сам все перенесет.


          1. TheRaven
            17.08.2015 15:58

            Если данные в одной папке лежат — да. Если рассортированы по подпапкам так просто не получится.


            1. reimax
              17.08.2015 16:55

              ну, если человеку было не лень расбрасывать торрент файлы по подпапкам, то такой вариант конечно не поможет…


              1. TheRaven
                17.08.2015 17:58

                Нет, не .torrent-файлы, а скачанный контент.


    1. ShadowMaster
      16.08.2015 23:45

      Менять старый-добрый 2.0.4 на что-то более новое? Да ни за что в жизни, учитывая во что оно превратилось.


      1. FazZzuR
        17.08.2015 00:37
        +5

        Попробуйте qbittorent. Можно и инсталятор старой версии таскать, но я придерживаюсь того что от использования продукции подобных компаний надо просто отказываться и других агитировать. Глядишь других остановит от такого свинского отношения к своим пользователям.


        1. ShadowMaster
          17.08.2015 01:02
          +2

          Чем он лучше старого uTorrent? Например, могу сказать, что с uTorrent 1.8 я перешел на 2.0.4 только из-за улучшенного кэширования. uTP отключен, пользы от него 0, только роутер загружает, эксперименты показали отсутствие прироста скорости. Сидел бы с 1.6.1 (последняя версия, которую делали независимые разработчики), но на некоторых трекерах он почему-то забанен. А при виде новых версий uTorrent аж блевать хочется и я не понимаю, что людей заставляет пользоваться этим. 2.0.4 замечательно выполняет свою работу (качает и раздает), не занимается ничем лишним, имеет небольшой размер и малое потребление ресурсов. Vuze тоже кошмарен и ужасен, даже когда он 10 лет назад назывался Azureus он был перегружен лишними функциями.


          1. ximaera
            17.08.2015 12:19
            +1

            > Чем он лучше старого uTorrent?

            Например, тем, что вы не будете создавать проблемы окружающим, используя уязвимое ПО.


    1. MiXaiL27
      17.08.2015 05:31
      +6

      Меня немного коробит, когда люди путают протокол и клиент, сей час переехал на QBittorrent.


  1. ivan386
    16.08.2015 21:44
    +1

    Я думал там что-то более умное. А там всё та же подделка обратного адреса в надежде что на него пульнут пакет побольше.


  1. IRainman
    17.08.2015 12:31

    Писал про это уже не раз и повторюсь ещё:
    У меня в сборке, где помимо патча клиента от мусора ещё добавлены более разумные настройки

    https://toster.ru/q/167191#comment_785580

    в настройки включена опция запрещающая соединения на порты популярных сервисов. Полностью избавиться от последствий описанной в топике уязвимости это не поможет ибо можно просто рассылать мусор по любым портам однако нагрузку на работающие на типовых портах сервисы уберёт:

    Всем пользователям настоятельно советую прописать такие же настройки:

    bt.no_connect_to_services_list=1,4,20,21,22,23,24,25,43,53,69,80,81,82,110,123,135,137,138,139,143,161,162,179,194,264,411,412,443,445,465,587,593,989,990,992,993,995,1027,1080,1194,1200,1293,1721,1723,3128,3724,3389,3544,3899,4080,4081,4090,4500,4899,5004,5005,5800,5900,5938,6665,6666,6667,6668,6669,6679,6697,8008,8080,8090,8118,8123,9030,9050,9051,9150


  1. rdc
    17.08.2015 15:18
    +2

    Сталкивался с атакой торрент-клиентами ещё в 2003 году. На 80 порт веб-сервиса повалили запросы, явно адресованные торрент-трекеру. Выкрутился белым списком файрвола.


  1. ivan386
    19.08.2015 15:02

    Кстати как вариант для DHT перед отправкой большого пакета отправить ping и после корректного ответа отправить его.