Очередное подтверждение аксиомы о том, что все новое — это хорошо забытое старое
Специалисты компании Akamai Technologies выявили факт использования устаревшего протокола RIPv1 (Routing Information Protocol version 1) для многократного усиления DDoS атак. Метод используется в течении двух последних месяцев, а протокол был признан устаревшим еще в 1996 году.
Несмотря на факт признания протокола устаревшим, он до сих пор используется на многих сетевых устройствах. Например, RIPv1 можно найти в небольших маршрутизаторах TP-LINK TD-8xxx, Motorola Netopia 3000/2000? ZTE ZXV 10 и других. Такие приборы принимают RIP -анонсы на порт 520 по UDP протоколу без аутентификации.
В результате сканирования Интернет было выявлено около 54 тысяч подобных устройств, постоянно присутствующих в сети и готовых к взаимодействию. Причем некоторые приборы используются крупными операторами связи.
Злоумышленники научились использовать подобные устройства для многократного усиления вредного трафика при провtдении DDoS атак. На устройство отправляется UDP пакет с подставным адресом цели атаки, а протокол RIPv1 позволяет отвечать на каждый запрос серией пакетов размером 504 байта.
Есть зафиксированная атака с применением данного способа. В атаке использовалось 500 устройств, поддерживающих протокол RIPv1, которые сгенерировал вредный трафик объемом 12.9 Гбит/с. Если использовать большее количество устройств, то можно получить и большую мощность волны атаки.
Первая пятерка стран по количеству устройств, активно использующих устаревший протокол , выглядит так: Россия, Китай, Германия, Италия и Испания. Специалисты настоятельно рекомендуют проверить сетевые устройства на наличие доступа к порту UDP 520 с использованием протокола RIPv1 и принять меры по ограничению прав если таковой наличествует.