The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Зафиксировано использование протокола RIPv1 в качестве усили..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от opennews (??) on 07-Июл-15, 00:07 
Организаторы DDoS-атак ввели в практику (https://blogs.akamai.com/2015/07/ripv1-reflection-ddos-makin...) использование протокола маршрутизации RIPv1 в качестве усилителя трафика. В большинстве случаев в атаке использовались устройства Netopia 3000/2000, ZTE ZXV10 и TP-­LINK TD-8xxx, по умолчанию принимающие  RIP-анонсы без аутенитификации через 520 UDP-порт. Смысл атаки с использованием усилителя трафика сводится к тому, что запросы с участвуюзих в DDoS-атаке поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом.


Несмотря на то, что протокол RIPv1 был предложен в 1988 году и объявлен устаревшим в 1996 году, он по-прежнему поддерживается во многих домашних маршутизаторах и точках доступа. В результате сканирования сети, исследователям безопасности удалось выявить 53693 устройств, принимающих запросы по протоколу RIPv1 и пригодных для участия в  DDoS. В зафиксированной DDoS атаке было задействовано около 500 устройств с поддержкой RIPv1, которых оказалось достаточно для создания волны трафика в 12.9 Gbps. В случае вовлечения атакующими большего числа устройств, возможна генерация значительно более внушительных потоков трафика.


RIPv1 позволяет добиться усиления трафика в 21 раз - на каждый отправленный от имени жертвы подставной запрос, размером 24 байта, можно добиться получения  ответа, размером 504 байта. Для сравнения коэффициент усиления для NTP составляет 556 раз, DNS - 28-54, SNMPv2 - 6.3. Пользователям рекомендуется убедиться в отсутствие доступа к RIPv1 через WAN-интерфейс SOHO-маршрутизаторов и при необходимости ограничить доступ к UDP-порту 520.


URL: https://blogs.akamai.com/2015/07/ripv1-reflection-ddos-makin...
Новость: http://www.opennet.dev/opennews/art.shtml?num=42573

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +12 +/
Сообщение от Аноним (??) on 07-Июл-15, 00:07 
Название протокола как бы намекает...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +15 +/
Сообщение от Аноним (??) on 07-Июл-15, 03:33 
...на уровень местных комментаторов. Этой бородатой шутке уже лет 30.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +7 +/
Сообщение от Аноним (??) on 07-Июл-15, 12:07 
Хорошая шутка - временных границ не имеет :)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

24. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +2 +/
Сообщение от анином on 07-Июл-15, 17:09 
От повторения шутка становится только смешнее
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

25. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +2 +/
Сообщение от Аноним (??) on 07-Июл-15, 17:58 
А ещё за петросяном всегда следует комментарий идейного зануды. Это к вопросу о местных комментаторах.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

2. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от Аноним (??) on 07-Июл-15, 01:03 
Поясните несведующему. То есть, мой маршрутизатор, в котором по-умолчанию запрещён доступ к веб-интерфейсу, активированы стандартные настройки NAT, IGMP proxy. Оного из внешней сети могли вовлечь в такую атаку? Или должны были быть открыты какие-то специфические какие-то порты?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +3 +/
Сообщение от Аноним (??) on 07-Июл-15, 01:46 
Поясняю: вывешен ли RIPv1 на внешку - очень и очень зависит от производителя роутера и того что этот производитель там наворотил. И универсальный ответ врядли существует.

Какой порт используется RIPv1 - описано в новости. А слушает ли кто-то на вашем маршрутизаторе на этом порту и доступен ли этот порт снаружи - мы то откуда знаем? Роутер то у вас.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от Аноним (??) on 07-Июл-15, 03:52 
Zyxel Keenetic


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от Аноним (??) on 07-Июл-15, 03:56 
> Zyxel Keenetic

Внешние сканеры портов пишут, что все (судьбоносные) порты закрыты. Короче, пишут - все порты закрыты.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +4 +/
Сообщение от Аноним (??) on 07-Июл-15, 04:16 
Это они тебе пишут что "закрыты", а сами занесли тебя в базу и уже пользуют ;-D
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Зафиксировано использование протокола RIPv1 в качестве усили..."  –1 +/
Сообщение от mootatn on 07-Июл-15, 10:25 
кавычки неверно поставлены — следует писать "они"
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от Аноним (??) on 07-Июл-15, 06:31 
Zyxel Keenetic Start - закрыто.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +2 +/
Сообщение от Аноним (??) on 07-Июл-15, 12:09 
> Zyxel Keenetic

Там может и догадались закрыть, там все-таки иногда нос в фирмвару совали и относительно разумные существа. Хотя раз на раз не приходится. Но, уж простите, покупать себе кинетика чтобы посмотреть что там в дефолтной прошивке - я все-таки не буду.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

30. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от XoRe (ok) on 09-Июл-15, 02:19 
> Поясните несведующему. То есть, мой маршрутизатор, в котором по-умолчанию запрещён доступ
> к веб-интерфейсу, активированы стандартные настройки NAT, IGMP proxy. Оного из внешней
> сети могли вовлечь в такую атаку?

Конечно.
При условии что он был выпущен до 1996 года.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

35. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от count0krsk (ok) on 10-Июл-15, 18:10 
Хорошая шутка ) Роутеров до 2000го вообще было не густо в виду популярности dial-up. Кабельные модемы были на некоторых домах, они мегабит 10 давали на всех.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

9. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +4 +/
Сообщение от Evolve32 (ok) on 07-Июл-15, 07:50 
Круто, чо. Мало того что на ZTE ZXV10H108L можно по телнету зайти с login/pass root/root из одного сегмента сети, так с помощью него еще и ддосы устраивают.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от Аноним (??) on 07-Июл-15, 12:35 
Причем, ЕМНИП, пароль на telnet хрен сменишь.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +8 +/
Сообщение от Аноним (??) on 07-Июл-15, 10:34 
Никогда не брал и не возьму роутер, на который нельзя накатить OpenWRT :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Зафиксировано использование протокола RIPv1 в качестве усили..."  –6 +/
Сообщение от имя. on 07-Июл-15, 10:41 
> Никогда не брал и не возьму роутер, на который нельзя накатить OpenWRT
> :)

нам крайне важно было это знать, спасибо за инфу!

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +4 +/
Сообщение от _KUL (ok) on 07-Июл-15, 11:00 
И что самое ужасное - автор коммента прав! Т.к. не первый раз уличают производителей железа в "случайных" дырах. Сейчас ни кого не удивляет, что можно купить комп с предустановленной виндой и накатить туда к примеру фряху, так и с сетевым оборудованием уже должно быть так.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

28. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от all (??) on 09-Июл-15, 01:41 
главное с фряхой не купить
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

31. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +1 +/
Сообщение от XoRe (ok) on 09-Июл-15, 02:19 
> главное с фряхой не купить

Однако, pfSense неплох.
Парадокс-с.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от Аноним (??) on 09-Июл-15, 22:20 
> Однако, pfSense неплох.

Только не работает ни на одной мыльнице. А пыльная гробина вместо мыльницы - очень на любителя.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

17. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +5 +/
Сообщение от Аноним (??) on 07-Июл-15, 12:10 
> нам крайне важно было это знать, спасибо за инфу!

Ну так полезная инфа. OpenWRT делается относительно разумными сетевиками и разработчиками. А не той стаей укуренных обезьян, которые в *-линках и прочих конторах с бодуна прошивки делают.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

27. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от slepnoga (??) on 08-Июл-15, 15:25 
>> нам крайне важно было это знать, спасибо за инфу!
> Ну так полезная инфа. OpenWRT делается относительно разумными сетевиками и разработчиками.
> А не той стаей укуренных обезьян, которые в *-линках и прочих
> конторах с бодуна прошивки делают.

Они не с бодуна - Муххамад сказал харам спиртное. А вот про траву он ничего не говорил ;)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

14. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от клоун on 07-Июл-15, 11:14 
DDOSить домашние маршутизаторы ботнетами...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от Аноним (??) on 07-Июл-15, 12:12 
> DDOSить домашние маршутизаторы ботнетами...

Спасибо, Капитан. Наверное как-то так и делают - берется небольшой ботнет, натравливается на усилители траффика. Маленький ботнет после усиления начинает генерить сотни траффика. За чужой счет.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от клоун on 07-Июл-15, 13:22 
Результатом DDOSа является не взлом, а отказ в обслуживании.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

29. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от all (??) on 09-Июл-15, 01:53 
> Результатом DDOS является

бодун

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от Аноним (??) on 07-Июл-15, 13:59 
Сотни траффика однако.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от Аноним (??) on 07-Июл-15, 14:09 
В контексте новости символичное название протокола RIP как раз к месту.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от crypt (ok) on 07-Июл-15, 14:31 
DDoS в доме престарелых...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от Аноним (??) on 08-Июл-15, 01:03 
Интересно, а можно ли заддосить всю сеть в одном конкретно взятом городе?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от XoRe (ok) on 09-Июл-15, 02:22 
> Интересно, а можно ли заддосить всю сеть в одном конкретно взятом городе?

Можно. Если денег хватит. DDoS сейчас можно заказать у хакеров за денюжку.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "Зафиксировано использование протокола RIPv1 в качестве усили..."  +/
Сообщение от i_stas (ok) on 09-Июл-15, 14:11 
дай контактоф. хочу затестить рабочие сервера.

потом показать логи руководству и получить перед отпуском премию за отражение атаки хакеров.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру