Media

DDoSery nadużywają Plex Media Server, aby ataki były silniejsze

DDoSery nadużywają Plex Media Server, aby ataki były silniejsze

Getty Images

Rozproszeni atakujący typu „odmowa usługi” wykorzystali nowy wektor do wzmocnienia ruchu śmieciowego, który wyrzucają na cele, aby przenieść ich w tryb offline: użytkowników końcowych lub sieci korzystające z Plex Media Server.

Wzmocnienie DDoS to technika, która wykorzystuje zasoby pośrednika w celu zwiększenia siły rażenia ataków. Zamiast wysyłać dane bezpośrednio do atakowanego serwera, maszyny uczestniczące w ataku najpierw wysyłają dane do strony trzeciej w postaci żądania określonej usługi. Następnie strona trzecia odpowiada znacznie większym ładunkiem do witryny, którą atakujący chcą usunąć.

Tak zwane ataki wzmacniające działają poprzez wysyłanie żądań stron trzecich, które są tak manipulowane, że wydają się pochodzić od celu. Gdy strony trzecie odpowiedzą, odpowiedzi trafiają do celu, a nie do atakującego urządzenia, które wysłało żądanie. Jednym z najpotężniejszych wzmacniaczy używanych w przeszłości był system buforowania bazy danych memcached, który może zwiększyć ładunki 51 000 razy. Inne wzmacniacze obejmują źle skonfigurowane serwery DNS i Network Time Protocol, żeby wymienić tylko trzy.

W czwartek Netscout, usługa łagodzenia skutków DDoS, poinformowała, że ​​usługi DDoS do wynajęcia niedawno zwróciły się do źle skonfigurowanych serwerów multimedialnych Plex, aby wzmocnić swoje ataki. Plex Media Server to oprogramowanie, które umożliwia ludziom dostęp do muzyki, zdjęć i filmów, które przechowują na jednym urządzeniu z innymi kompatybilnymi urządzeniami. Oprogramowanie działa w systemach Windows, macOS i Linux.

W niektórych przypadkach – na przykład gdy serwer używa protokołu Simple Service Discovery Protocol do zlokalizowania uniwersalnych bram typu plug-and-play w modemach szerokopasmowych użytkowników końcowych – obiekt odpowiadający na rejestrację usługi Plex zostaje ujawniony w ogólnym Internecie. Odpowiedzi wahają się od 52 bajtów do 281 bajtów, zapewniając średni współczynnik wzmocnienia około 5.

Netscout poinformował, że zidentyfikował około 27 000 serwerów w Internecie, które mogą być w ten sposób wykorzystywane. Aby odróżnić od zwykłego wanilii, generycznych DDoS do amplifikacji protokołu Simple Service Discovery Protocol, firma odnosi się do nowej techniki jako Plex Media SSDP lub PMSSDP.

„Uboczny wpływ ataków odbicia / wzmocnienia PMSSDP jest potencjalnie znaczący dla operatorów szerokopasmowego dostępu do Internetu, których klienci nieumyślnie wystawili reflektory / wzmacniacze PMSSDP na działanie Internetu” – napisali Roland Dobbins i Steinthor Bjarnason, naukowcy z firmy Netscout. „Może to obejmować częściowe lub całkowite przerwanie szerokopasmowego dostępu do Internetu przez klienta końcowego, a także dodatkowe zakłócenia w usługach spowodowane dostępem / dystrybucją / agregacją / rdzeniem / peeringiem / zużyciem łącza tranzytowego”.

Naukowcy stwierdzili, że hurtowe filtrowanie danych UDP przez port 32414 przez operatorów sieci może potencjalnie zablokować część legalnego ruchu. Zamiast tego naukowcy stwierdzili, że operatorzy powinni zidentyfikować węzły PMSSDP w swojej sieci, które mogą być wykorzystywane jako reflektory lub wzmacniacze DDoS. Badacze zalecili również, aby dostawcy usług internetowych domyślnie wyłączali SSDP w sprzęcie, który zapewniają abonentom.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook