Onderzoekers van de Universiteit van Tennessee hebben onlangs de Maestro-aanval geïdentificeerd, een nieuwe link flooding-aanval (LFA) die gebruikmaakt van engineeringtechnieken voor vliegtuigverkeer om botnet-sourced distributed denial of service (DDos)-stromen te concentreren op transitverbindingen. In hun krant onlangs gepubliceerd op arXiv, de onderzoekers schetsten dit type aanval, probeerde de reikwijdte ervan te begrijpen en presenteerde effectieve mitigaties voor netwerkbeheerders die zich ervan willen isoleren.

Distributed denial of service (DDos)-aanvallen werken door verkeer van verschillende bronnen op internet om te leiden om de capaciteit van een gericht systeem te overweldigen. Hoewel onderzoekers tal van mitigatie- en verdedigingstechnieken hebben geïntroduceerd om gebruikers tegen deze aanvallen te beschermen, ze groeien nog steeds. Link flooding-aanvallen (LFA) zijn een specifiek type DDoS-aanvallen die gericht zijn op infrastructuurkoppelingen, die doorgaans worden gestart vanaf botnets.

"Terwijl we onderzochten hoe goed een ISP zich in zijn eentje zou kunnen verdedigen tegen massale denial of service-aanvallen, we realiseerden ons dat dezelfde techniek die we gebruikten om ons te verdedigen tegen aanvallen, door een tegenstander kan worden gebruikt om onze eigen verdediging neer te halen, "Jared Smit, een van de onderzoekers die het onderzoek heeft uitgevoerd, vertelde TechXplore. "Dit leidde ertoe dat we onderzochten hoe goed deze techniek, BGP-vergiftiging, zou kunnen worden gebruikt om een ​​dergelijke aanval uit te voeren."

Terwijl ze een verdediging tegen DDoS-aanvallen probeerden te ontwikkelen, Smith en zijn collega's Tyler McDaniel en Max Schuchard onderzochten hoe het vermogen van een tegenstander om routeringsbeslissingen te beïnvloeden (d.w.z. zijn/haar toegang tot een gecompromitteerd boardergateway-protocol of BGP-spreker) de padselectieprocessen van externe netwerken in hun voordeel kan beïnvloeden. Tijdens hun onderzoek hebben ze identificeerden een nieuw type LFA-aanval, die ze de Maestro-aanval noemden.

"We doen onderzoek naar DDoS-aanvallen op internetinfrastructuurverbindingen, McDaniel vertelde TechXolore. "Deze aanvallen worden beperkt door kenmerken van internetroutering, omdat DDoS-bronnen niet altijd een bestemming hebben voor hun verkeer dat een doellink passeert. De Maestro-aanval maakt misbruik van kwetsbaarheden in de taal die internetrouters gebruiken om te communiceren (d.w.z. BGP) om deze beperking te verhelpen."

De Maestro-aanval werkt door frauduleuze (d.w.z. vergiftigde) BGP-berichten van een internetrouter te verspreiden om inkomend verkeer (d.w.z. verkeer dat naar de router stroomt) naar een doellink te leiden. Tegelijkertijd, het stuurt een DDoS-aanval op dezelfde router met behulp van een botnet, die uiteindelijk DDoS-verkeer naar de doellink leidt.

Met andere woorden, Maestro orkestreert padselectie van externe autonome systemen (ASes) en botverkeersbestemmingen, om kwaadaardige stromen naar links te sturen die anders ontoegankelijk zouden zijn voor botnets. Om deze aanval uit te voeren, een gebruiker zou twee belangrijke tools nodig hebben:een edge-router in een of ander gecompromitteerd AS en een botnet.

"Voor een van onze belangrijkste botnetmodellen, Mirai, een goed gepositioneerde Maestro-aanvaller kan verwachten een miljoen extra geïnfecteerde hosts op de doellink te brengen versus een traditionele link DDoS, "Zei McDaniel. "Dit aantal vertegenwoordigt maar liefst een derde van het hele botnet."

Volgens de onderzoekers is om zich te isoleren van deze aanval, of in ieder geval het risico te verkleinen om een ​​doelwit te worden, netwerkoperators moeten vergiftigde BGP-berichten eruit filteren. interessant, echter, studies uitgevoerd in hun laboratorium hebben aangetoond dat de meeste routers deze berichten momenteel niet uitfilteren.

"Een tegenstander die een internetrouter kan compromitteren of kopen, kan frauduleuze berichten verspreiden om aanvallen op de internetinfrastructuur te intensiveren, "Zei McDaniel. "Dit is verontrustend, omdat eerder werk het schrikbeeld heeft gewekt dat grootschalige DDoS-links worden bewapend om installaties of hele geografische regio's van internet te isoleren."

Naast de introductie van de Maestro-aanval, het onderzoek van Smith, McDaniel en Schuchard leveren verder bewijs dat BGP, zoals het staat, is niet langer een ideaal, schaalbaar en veilig routeringsprotocol. Dit werd al gesuggereerd door eerdere studies, evenals door recente incidenten, zoals de 3ve-fraudeoperatie en de China Telecom-kaping. Volgens de onderzoekers is hoewel upgrades zoals peer-locking deze specifieke aanval kunnen helpen voorkomen, BGP vervangen door een geheel nieuwe, systeem van de volgende generatie (bijv. SCION) zou de meest effectieve oplossing zijn.

"Vooruit gaan, we verkennen voornamelijk twee richtingen, ' zei Smith. 'Eerst, terwijl ik met ISP-operators over Maestro praat, we vonden verschillende meningen over hoe kwetsbaar internet eigenlijk is. Ons lab heeft een geschiedenis van het actief meten van het internetgedrag en we werken aan het meten van de intuïtie van menselijke operators ten opzichte van het daadwerkelijke gedrag van internet. Tweede, we zien al sterke resultaten voor het uitbreiden van Maestro om te werken, zelfs als je geen enorm botnet beschikbaar hebt."

© 2019 Wetenschap X Netwerk