DDoS_KEY

黑客近期除了透過虛擬機器的 Floppy 作攻擊之外,近期又發生了一些令人感到意外的攻擊,那就是採用棄置路由協議 RIPv1 發功。根據 Akamai 指出,她們近期發現了愈來愈多反射及擴大攻擊,而近日更得悉攻擊是是利用過期的路由選擇信息協議(Routing Information Protocol)第一版本(RIPv1)來發動,的確令人感到意外!

RIPv1 是甚麼?

RIPv1 是利用小型及多路由器的網路,靈活地分享路由資訊的快速方法。首次被配置或使用的 RIP 路由器會發出一個典型的請求。由此,任何聽從該請求的裝置,會以廣播的形式發送路由的表列及更新。

這個版本的 RIP 協議在 1988 年,超過 25 年前 RFC1058 旗下發表。RIPv1 在消失一年後重現,令人費解。這顯示了攻擊者利用對 DDoS 攻擊反射向量的熟悉程度。對於攻擊者而言,利用 RIPv1 的行為以發動 DDoS 反射攻擊是十分容易的。他們透過一個正常的廣播查詢,單一的請求會成為惡意查詢,並直接被傳送到反射器。攻擊者其後便可以操作 IP 位址來源,以配合預期的攻擊目標,導致網絡受損。

利用 RIPv1 發動 DDoS 反射攻擊

根據一份由 PLXsert 公佈的報告指出,攻擊者傾向針對 RIPv1 資料庫中,有大量路線的路由器。根據報告,絕大部份能辨認的攻擊都有查詢,導致向目標在同一個請求中,發出 504 byte 回應有效負載。典型的 RIPv1 請求只有一個 24 byte 有效負載,顯示攻擊者雖然發出一個較小的請求,但希望藉大量未經同意的請求,淹沒目標。

安全專家警告,採用 RIPv1 的惡意設計,會繼續利用上述的方式,發動反射及放大的攻擊。

緩解威脅

如欲避免利用 RIPv1 的 DDoS 反射攻擊,可考慮以下技術:

– 轉為 RIPv2,或更新版本以啟動身份驗証。
– 使用受控制訪問表 (ACL) 以限制來自互聯網源端口 520 的用戶數據報協議 (UDP)


 DDoS 反射攻擊量暴升!小心黑客以棄置路由協議 RIPv1 發功

 https://www.facebook.com/hkitblog