يمكن إساءة استخدام برامج BitTorrent لزيادة هجمات الحرمان من الخدمة

يمكن خداع تطبيقات BitTorrent التي يستخدمها مئات الملايين من المستخدمين حول العالم للمشاركة في هجمات رفض الخدمة الموزعة (DDoS) ، مما يضاعف عدد الزيارات الخبيثة التي يولدها المهاجمون بنسبة تصل إلى 50 مرة.

إن انعكاس DDoS عبارة عن تقنية تستخدم عنوان IP (بروتوكول إنترنت) للتحايل لخداع إحدى الخدمات لإرسال استجابات إلى كمبيوتر طرف ثالث بدلاً من المرسل الأصلي. يمكن استخدامه لإخفاء مصدر حركة المرور الضارة.

يمكن استخدام هذه التقنية عادةً مقابل الخدمات التي تتواصل عبر بروتوكول مخطط بيانات المستخدم (UDP) ، لأنه على عكس بروتوكول التحكم في الإرسال (TCP) ، لا يقوم بروتوكول UDP بإجراء مصافحة و لذلك مصدر التحقق من صحة عنوان IP. وهذا يعني أن المهاجم يمكنه إرسال حزمة UDP برأس مزور يحدد عنوان IP لشخص آخر كمصدر ، مما يؤدي إلى إرسال الخدمة إلى هذا العنوان.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

على مدار العامين الماضيين ، قام المهاجمون بإساءة استخدام البروتوكولات المستندة إلى UDP مثل نظام أسماء النطاقات (DNS) وبروتوكول وقت الشبكة (NTP) وبروتوكول إدارة الشبكة البسيط (SNMP) لإطلاق هجمات DDoS القياسية مع عرض النطاق الترددي أكثر من 400 جيجابت في الثانية.

قام أربعة باحثين من جامعة سيتي بلندن ، وجامعة ميتيلهيسن للعلوم التطبيقية في فريدبرغ ، ألمانيا وشركة PLUMgrid للتواصل عبر الشبكات السحابية بتحليل البروتوكولات المستخدمة من قبل عملاء BitTorrent الرائجين ، ووجدوا أنه يمكن أيضًا إساءة استخدامها من أجل انعكاس DDoS و في ورقة قدمت الأسبوع الماضي في ورشة عمل USENIX التاسعة حول تقنيات الهجوم (WOOT '15) ، أظهر الباحثون كيف يمكن للبرامج الشهيرة مثل uTorrent أو Vuze أو عميل BitTorrent Mainline مساعدة المهاجمين على تضخيم حركة DDoS بنسبة تصل إلى 50 مرة. يمكن استغلال BitTorrent Sync (BTSync) ، وهو بروتوكول منفصل مصمم لمزامنة الملفات من نظير إلى نظير ، لعامل تضخيم يصل إلى 120.

حتى عملاء BitTorrent الأقل شعبية مع أسهم السوق الأصغر مثل Transmission أو LibTorrent وقال الباحثون إن استخدام بروتوكولات BitTorrent لتضخيم DDoS أكثر كفاءة من استغلال DNS أو NTP ، لكن عامل تضخيمها أقل بكثير من 4٪ و 5٪ على التوالي. ويرجع السبب في ذلك إلى وجود عدد صغير نسبيًا من خوادم DNS أو NTP الهشة المتوفرة على الإنترنت ، ولكن هناك عشرات الملايين من أجهزة الكمبيوتر التي تشغل برامج BitTorrent ضعيفة.

علاوة على ذلك ، عادةً ما يستخدم DNS و NTP رقم منفذ ثابت حتى يكون من السهل تصفية المرور الخبيث على هذه البروتوكولات. لكن يستخدم BitTorrent نطاقات منافذ ديناميكية ، لذلك يتطلب الكشف عن الهجوم وحظره وجود جدر حماية متخصصة قادرة على إجراء فحص عميق للحزمة.

وعلاوة على ذلك ، يمكن للمهاجمين استغلال ملحق بروتوكول BitTorrent يسمى Message Stream Encryption (MSE) ، المدعوم من قبل معظم عملاء BitTorrent وهو مصمم لتشفير حركة المرور. وقال الباحثون إن تضخيم DDoS باستخدام MSE سيكون أصعب في التصفية ،

هناك عدة أنواع من التدابير المضادة التي يمكن تنفيذها لمنع مثل هذه الهجمات ، وفقا للباحثين.

واحد يتطلب مزودي خدمات الإنترنت لتنفيذ الممارسات الأمنية الموصى بها مثل تصفية دخول الشبكة لمنع انتحال IP بشكل عام. ووفقًا لمشروع Spoofer ، الذي يتتبع عدد الشبكات التي تسمح بانتحال IP على الإنترنت ، فإن حوالي 24 بالمائة من بادئات عناوين IP الموجهة بشكل عام في العالم يمكن أن يتم انتحالها في الوقت الحالي.

من التدابير المضادة الأخرى تنفيذ بروتوكول تشبه بروتوكول TCP ، على نطاق واسع في بروتوكول نقل المايكرو (uTP) المستخدم حالياً من قبل معظم عملاء BitTorrent. ومع ذلك ، قد يكون هذا تغييرًا كبيرًا يتطلب وقتًا طويلاً للتبني وسيخلق عدم التوافق مع العملاء الأقدم.

أخيرًا ، يمكن أن تحد برامج BitTorrent من الرسائل التي تتضمنها في حزمة uTP الأولى الخاصة بها إلى واحدة ، والتي يقوم بها بعض العملاء بالفعل. وقال الباحثون إن هذا لن يمنع الهجوم لكنه سيقلص عامل التضخيم إلى نحو 4 أو 5