Forskare vid University of Tennessee har nyligen identifierat Maestro-attacken, en ny länköversvämningsattack (LFA) som utnyttjar tekniker för flygtrafikkontroll för att koncentrera botnätskällor för distribuerade överbelastningsflöden (DDos) på transitlänkar. I deras tidning, nyligen publicerad på arXiv, forskarna beskrev denna typ av attack, försökte förstå dess omfattning och presenterade effektiva begränsningar för nätoperatörer som vill isolera sig från det.

Distribuerade denial of service-attacker (DDos) fungerar genom att dirigera trafik från olika källor på internet för att överväldiga kapaciteten hos ett riktat system. Även om forskare har introducerat många begränsnings- och försvarstekniker för att skydda användare mot dessa attacker, de sprider sig fortfarande. Link flooding attacks (LFA) är en specifik typ av DDoS-attacker som riktar sig till infrastrukturlänkar, som vanligtvis lanseras från botnät.

"Medan man undersöker hur väl en internetleverantör på egen hand kunde försvara sig mot massiva överbelastningsattacker, vi insåg att samma teknik som vi använde för att försvara mot attacker kunde användas av en motståndare för att ta ner vårt eget försvar, " Jared Smith, en av forskarna som genomförde studien, berättade för TechXplore. "Detta ledde till att vi undersökte hur väl den här tekniken, BGP-förgiftning, skulle kunna användas för att utföra en sådan attack."

När de försökte utveckla försvar mot DDoS-attacker, Smith och hans kollegor Tyler McDaniel och Max Schuchard undersökte hur en motståndares förmåga att påverka routingbeslut (d.v.s. hans/hennes tillgång till ett komprometterat boarder gateway-protokoll eller BGP-högtalare) kan forma fjärrnätverks vägvalsprocesser till deras fördel. Under deras utredning, de identifierade en ny typ av LFA-attack, som de kallade Maestro-attacken.

"Vi undersöker DDoS-attacker mot länkar till Internetinfrastruktur, " McDaniel berättade TechXolore. "Dessa attacker begränsas av internet routing egenskaper, eftersom DDoS-källor inte alltid har en destination för sin trafik som korsar en mållänk. Maestro-attacken utnyttjar sårbarheter i språket som internetroutrar använder för att kommunicera (d.v.s. BGP) för att övervinna denna begränsning."

Maestro-attacken fungerar genom att distribuera bedrägliga (d.v.s. förgiftade) BGP-meddelanden från en internetrouter för att kanalisera inkommande trafik (dvs. trafik som flödar in i routern) till en mållänk. Samtidigt, den riktar en DDoS-attack mot samma router med hjälp av ett botnät, som slutligen kanaliserar DDoS-trafik till mållänken.

Med andra ord, Maestro orkestrerar vägval av fjärrstyrda autonoma system (ASes) och bottrafikdestinationer, för att styra skadliga flöden till länkar som annars skulle vara otillgängliga för botnät. För att utföra denna attack, en användare skulle behöva ha två nyckelverktyg:en edge-router i något komprometterat AS och ett botnät.

"För en av våra stora botnät-modeller, Mirai, en välpositionerad Maestro-angripare kan förvänta sig att ta med ytterligare en miljon infekterade värdar till mållänken jämfört med en traditionell länk DDoS, ", sa McDaniel. "Detta antal representerar helt och hållet en tredjedel av hela botnätet."

Enligt forskarna, för att isolera sig från denna attack, eller åtminstone minska risken för att bli ett mål, nätoperatörer bör filtrera bort förgiftade BGP-meddelanden. Intressant, dock, studier utförda i deras labb visade att de flesta routrar för närvarande inte filtrerar bort dessa meddelanden.

"En motståndare som kan kompromissa eller köpa en Internetrouter kan sprida bedrägliga meddelanden för att intensifiera attacker mot Internets infrastruktur, " sa McDaniel. "Det här är oroande, eftersom tidigare arbete har väckt spöket av att storskalig länk DDoS vapeniserats för att isolera installationer eller hela geografiska regioner från internet."

Förutom att introducera Maestro-attacken, studien utförd av Smith, McDaniel och Schuchard ger ytterligare bevis för att BGP, som det står, är inte längre ett ideal, skalbart och säkert routingprotokoll. Detta antyddes redan av tidigare studier, såväl som av de senaste incidenterna, som 3ve-bedrägerioperationen och China Telecom-kapningen. Enligt forskarna, även om uppgraderingar som peer locking kan hjälpa till att förhindra denna specifika attack, ersätta BGP med en helt ny, nästa generationssystem (t.ex. SCION) skulle vara den mest effektiva lösningen.

"Går framåt, vi utforskar i första hand två riktningar, " sade Smith. "Först, medan jag pratade med ISP-operatörer om Maestro, vi hittade olika åsikter om hur sårbart internet faktiskt är. Vårt labb har en historia av att aktivt mäta Internets beteende och vi arbetar med att mäta mänskliga operatörers intuition mot det faktiska beteendet på Internet. Andra, vi ser redan starka resultat för att utöka Maestro till att fungera även när du inte har ett omfattande botnät tillgängligt."

© 2019 Science X Network