Maestro:et nyt angreb, der orkestrerer ondsindede flows med BGP

Forskere ved University of Tennessee har for nylig identificeret Maestro-angrebet, et nyt link flooding attack (LFA), der udnytter flytrafikkontrolteknik til at koncentrere botnet-sourced distributed denial of service (DDos) flows på transitforbindelser. I deres papir, for nylig offentliggjort på arXiv, forskerne skitserede denne type angreb, forsøgt at forstå dets omfang og præsenterede effektive afbødninger for netværksoperatører, der ønsker at isolere sig fra det.

Distributed denial of service (DDos)-angreb virker ved at dirigere trafik fra forskellige kilder på internettet for at overvælde kapaciteten i et målrettet system. Selvom forskere har introduceret adskillige afbødnings- og forsvarsteknikker for at beskytte brugerne mod disse angreb, de formerer sig stadig. Link flooding-angreb (LFA) er en specifik type DDoS-angreb, der er rettet mod infrastrukturforbindelser, som typisk lanceres fra botnets.

"Mens man undersøger, hvor godt en internetudbyder på egen hånd kunne forsvare sig mod massive lammelsesangreb, vi indså, at den samme teknik, som vi brugte til at forsvare mod angreb, kunne bruges af en modstander til at nedlægge vores eget forsvar, " Jared Smith, en af ​​de forskere, der har udført undersøgelsen, fortalte TechXplore. "Dette førte til, at vi undersøgte, hvor godt denne teknik, BGP forgiftning, kunne bruges til at udføre et sådant angreb."

Da de forsøgte at udvikle forsvar mod DDoS-angreb, Smith og hans kolleger Tyler McDaniel og Max Schuchard undersøgte, hvordan en modstanders evne til at påvirke routingbeslutninger (dvs. hans/hendes adgang til en kompromitteret grænsegateway-protokol eller BGP-højttaler) kan forme fjernnetværks stivalgsprocesser til deres fordel. Under deres efterforskning, de identificerede en ny type LFA-angreb, som de kaldte Maestro-angrebet.

"Vi forsker i DDoS-angreb mod internetinfrastrukturforbindelser, " McDaniel fortalte TechXolore. "Disse angreb er begrænset af internet routing karakteristika, fordi DDoS-kilder ikke altid har en destination for deres trafik, der krydser et mållink. Maestro-angrebet udnytter sårbarheder i det sprog, internetroutere bruger til at kommunikere (dvs. BGP) for at overvinde denne begrænsning."

Maestro-angrebet fungerer ved at distribuere svigagtige (dvs. forgiftede) BGP-meddelelser fra en internetrouter for at kanalisere indgående trafik (dvs. trafik, der flyder ind i routeren) til et mållink. Samtidigt, det retter et DDoS-angreb mod den samme router ved hjælp af et botnet, som i sidste ende kanaliserer DDoS-trafik til mållinket.

Med andre ord, Maestro orkestrerer stivalg af fjerntliggende autonome systemer (AS'er) og bottrafikdestinationer, for at styre ondsindede strømme til links, der ellers ville være utilgængelige for botnets. For at udføre dette angreb, en bruger skal have to nøgleværktøjer:en edge-router i et kompromitteret AS og et botnet.

"For en af ​​vores store botnet-modeller, Mirai, en velpositioneret Maestro-angriber kan forvente at bringe en million ekstra inficerede værter ind på mållinket i forhold til et traditionelt link DDoS, " sagde McDaniel. "Dette tal repræsenterer fuldt ud en tredjedel af hele botnettet."

Ifølge forskerne, for at isolere sig fra dette angreb, eller i det mindste mindske risikoen for at blive et mål, netværksoperatører bør bortfiltrere forgiftede BGP-meddelelser. Interessant nok, imidlertid, undersøgelser udført i deres laboratorium viste, at de fleste routere i øjeblikket ikke filtrerer disse beskeder fra.

"En modstander, der kan gå på kompromis eller købe en internetrouter, kan sprede svigagtige beskeder for at intensivere angreb på internettets infrastruktur, " sagde McDaniel. "Dette er bekymrende, fordi tidligere arbejde har rejst spøgelsen af, at storstilet link DDoS bliver våben til at isolere installationer eller hele geografiske områder fra internettet."

Ud over at introducere Maestro-angrebet, undersøgelsen udført af Smith, McDaniel og Schuchard fremlægger yderligere bevis for, at BGP, som det står, er ikke længere et ideal, skalerbar og sikker routingprotokol. Dette blev allerede antydet af tidligere undersøgelser, samt ved nylige hændelser, såsom 3ve-svindeloperationen og China Telecom-kapringen. Ifølge forskerne, selvom opgraderinger såsom peer locking kan hjælpe med at forhindre dette specifikke angreb, erstatte BGP med en helt ny, næste generations system (f.eks. SCION) ville være den mest effektive løsning.

"Fremadrettet, vi udforsker primært to retninger, " sagde Smith. "For det første, mens du taler med ISP-operatører om Maestro, vi fandt forskellige meninger om, hvor sårbart internettet faktisk er. Vores laboratorium har en historie med aktivt at måle internettets adfærd, og vi arbejder på at måle den menneskelige operatørs intuition i forhold til internettets faktiske adfærd. Sekund, vi ser allerede stærke resultater for at udvide Maestro til at fungere, selv når du ikke har et massivt botnet tilgængeligt."

© 2019 Science X Network