Организаторы DDoS-атак ввели в практику (https://blogs.akamai.com/2015/07/ripv1-reflection-ddos-makin...) использование протокола маршрутизации RIPv1 в качестве усилителя трафика. В большинстве случаев в атаке использовались устройства Netopia 3000/2000, ZTE ZXV10 и TP-­LINK TD-8xxx, по умолчанию принимающие  RIP-анонсы без аутенитификации через 520 UDP-порт. Смысл атаки с использованием усилителя трафика сводится к тому, что запросы с участвуюзих в DDoS-атаке поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом.

Несмотря на то, что протокол RIPv1 был предложен в 1988 году и объявлен устаревшим в 1996 году, он по-прежнему поддерживается во многих домашних маршутизаторах и точках доступа. В результате сканирования сети, исследователям безопасности удалось выявить 53693 устройств, принимающих запросы по протоколу RIPv1 и пригодных для участия в  DDoS. В зафиксированной DDoS атаке было задействовано около 500 устройств с поддержкой RIPv1, которых оказалось достаточно для создания волны трафика в 12.9 Gbps. В случае вовлечения атакующими большего числа устройств, возможна генерация значительно более внушительных потоков трафика.

RIPv1 позволяет добиться усиления трафика в 21 раз - на каждый отправленный от имени жертвы подставной запрос, размером 24 байта, можно добиться получения  ответа, размером 504 байта. Для сравнения коэффициент усиления для NTP составляет 556 раз, DNS - 28-54, SNMPv2 - 6.3. Пользователям рекомендуется убедиться в отсутствие доступа к RIPv1 через WAN-интерфейс SOHO-маршрутизаторов и при необходимости ограничить доступ к UDP-порту 520.

URL: https://blogs.akamai.com/2015/07/ripv1-reflection-ddos-makin...
Новость: http://www.opennet.me/opennews/art.shtml?num=42573

• Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 00:07 , 07-Июл-15
  • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 03:33 , 07-Июл-15
    • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 12:07 , 07-Июл-15
    • Зафиксировано использование протокола RIPv1 в качестве усили...,анином, 17:09 , 07-Июл-15
    • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 17:58 , 07-Июл-15
• Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 01:03 , 07-Июл-15
  • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 01:46 , 07-Июл-15
    • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 03:52 , 07-Июл-15
      • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 03:56 , 07-Июл-15
        • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 04:16 , 07-Июл-15
          • Зафиксировано использование протокола RIPv1 в качестве усили...,mootatn, 10:25 , 07-Июл-15
      • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 06:31 , 07-Июл-15
      • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 12:09 , 07-Июл-15
  • Зафиксировано использование протокола RIPv1 в качестве усили...,XoRe, 02:19 , 09-Июл-15
    • Зафиксировано использование протокола RIPv1 в качестве усили...,count0krsk, 18:10 , 10-Июл-15
• Зафиксировано использование протокола RIPv1 в качестве усили...,Evolve32, 07:50 , 07-Июл-15
  • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 12:35 , 07-Июл-15
• Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 10:34 , 07-Июл-15
  • Зафиксировано использование протокола RIPv1 в качестве усили...,имя., 10:41 , 07-Июл-15
    • Зафиксировано использование протокола RIPv1 в качестве усили...,_KUL, 11:00 , 07-Июл-15
      • Зафиксировано использование протокола RIPv1 в качестве усили...,all, 01:41 , 09-Июл-15
        • Зафиксировано использование протокола RIPv1 в качестве усили...,XoRe, 02:19 , 09-Июл-15
          • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 22:20 , 09-Июл-15
    • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 12:10 , 07-Июл-15
      • Зафиксировано использование протокола RIPv1 в качестве усили...,slepnoga, 15:25 , 08-Июл-15
• Зафиксировано использование протокола RIPv1 в качестве усили...,клоун, 11:14 , 07-Июл-15
  • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 12:12 , 07-Июл-15
    • Зафиксировано использование протокола RIPv1 в качестве усили...,клоун, 13:22 , 07-Июл-15
      • Зафиксировано использование протокола RIPv1 в качестве усили...,all, 01:53 , 09-Июл-15
    • Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 13:59 , 07-Июл-15
• Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 14:09 , 07-Июл-15
• Зафиксировано использование протокола RIPv1 в качестве усили...,crypt, 14:31 , 07-Июл-15
• Зафиксировано использование протокола RIPv1 в качестве усили...,Аноним, 01:03 , 08-Июл-15
  • Зафиксировано использование протокола RIPv1 в качестве усили...,XoRe, 02:22 , 09-Июл-15
    • Зафиксировано использование протокола RIPv1 в качестве усили...,i_stas, 14:11 , 09-Июл-15

Название протокола как бы намекает...

...на уровень местных комментаторов. Этой бородатой шутке уже лет 30.

Хорошая шутка - временных границ не имеет :)

От повторения шутка становится только смешнее

А ещё за петросяном всегда следует комментарий идейного зануды. Это к вопросу о местных комментаторах.

Поясните несведующему. То есть, мой маршрутизатор, в котором по-умолчанию запрещён доступ к веб-интерфейсу, активированы стандартные настройки NAT, IGMP proxy. Оного из внешней сети могли вовлечь в такую атаку? Или должны были быть открыты какие-то специфические какие-то порты?

Поясняю: вывешен ли RIPv1 на внешку - очень и очень зависит от производителя роутера и того что этот производитель там наворотил. И универсальный ответ врядли существует.

Какой порт используется RIPv1 - описано в новости. А слушает ли кто-то на вашем маршрутизаторе на этом порту и доступен ли этот порт снаружи - мы то откуда знаем? Роутер то у вас.

Zyxel Keenetic

> Zyxel Keenetic

Внешние сканеры портов пишут, что все (судьбоносные) порты закрыты. Короче, пишут - все порты закрыты.

Это они тебе пишут что "закрыты", а сами занесли тебя в базу и уже пользуют ;-D

кавычки неверно поставлены — следует писать "они"

Zyxel Keenetic Start - закрыто.

> Zyxel Keenetic

Там может и догадались закрыть, там все-таки иногда нос в фирмвару совали и относительно разумные существа. Хотя раз на раз не приходится. Но, уж простите, покупать себе кинетика чтобы посмотреть что там в дефолтной прошивке - я все-таки не буду.

> Поясните несведующему. То есть, мой маршрутизатор, в котором по-умолчанию запрещён доступ
> к веб-интерфейсу, активированы стандартные настройки NAT, IGMP proxy. Оного из внешней
> сети могли вовлечь в такую атаку?

Конечно.
При условии что он был выпущен до 1996 года.

Хорошая шутка ) Роутеров до 2000го вообще было не густо в виду популярности dial-up. Кабельные модемы были на некоторых домах, они мегабит 10 давали на всех.

Круто, чо. Мало того что на ZTE ZXV10H108L можно по телнету зайти с login/pass root/root из одного сегмента сети, так с помощью него еще и ддосы устраивают.

Причем, ЕМНИП, пароль на telnet хрен сменишь.

Никогда не брал и не возьму роутер, на который нельзя накатить OpenWRT :)

> Никогда не брал и не возьму роутер, на который нельзя накатить OpenWRT
> :)

нам крайне важно было это знать, спасибо за инфу!

И что самое ужасное - автор коммента прав! Т.к. не первый раз уличают производителей железа в "случайных" дырах. Сейчас ни кого не удивляет, что можно купить комп с предустановленной виндой и накатить туда к примеру фряху, так и с сетевым оборудованием уже должно быть так.

главное с фряхой не купить

> главное с фряхой не купить

Однако, pfSense неплох.
Парадокс-с.

> Однако, pfSense неплох.

Только не работает ни на одной мыльнице. А пыльная гробина вместо мыльницы - очень на любителя.

> нам крайне важно было это знать, спасибо за инфу!

Ну так полезная инфа. OpenWRT делается относительно разумными сетевиками и разработчиками. А не той стаей укуренных обезьян, которые в *-линках и прочих конторах с бодуна прошивки делают.

>> нам крайне важно было это знать, спасибо за инфу!
> Ну так полезная инфа. OpenWRT делается относительно разумными сетевиками и разработчиками.
> А не той стаей укуренных обезьян, которые в *-линках и прочих
> конторах с бодуна прошивки делают.

Они не с бодуна - Муххамад сказал харам спиртное. А вот про траву он ничего не говорил ;)

DDOSить домашние маршутизаторы ботнетами...

> DDOSить домашние маршутизаторы ботнетами...

Спасибо, Капитан. Наверное как-то так и делают - берется небольшой ботнет, натравливается на усилители траффика. Маленький ботнет после усиления начинает генерить сотни траффика. За чужой счет.

Результатом DDOSа является не взлом, а отказ в обслуживании.

> Результатом DDOS является

бодун

Сотни траффика однако.

В контексте новости символичное название протокола RIP как раз к месту.

DDoS в доме престарелых...

Интересно, а можно ли заддосить всю сеть в одном конкретно взятом городе?

> Интересно, а можно ли заддосить всю сеть в одном конкретно взятом городе?

Можно. Если денег хватит. DDoS сейчас можно заказать у хакеров за денюжку.

дай контактоф. хочу затестить рабочие сервера.

потом показать логи руководству и получить перед отпуском премию за отражение атаки хакеров.