Dimostrazione dell'attacco Maestro:utilizzo del BGP Poisoning per comprimere il traffico botnet su un singolo collegamento. Credito:McDaniel et al.
I ricercatori dell'Università del Tennessee hanno recentemente identificato l'attacco al Maestro, un nuovo attacco LFA (link flooding attack) che sfrutta le tecniche di ingegneria del controllo del traffico aereo per concentrare i flussi DDos (Distributed Denial of Service) di origine botnet sui collegamenti di transito. Nella loro carta, recentemente pubblicato su arXiv, i ricercatori hanno delineato questo tipo di attacco, ha cercato di comprenderne la portata e ha presentato mitigazioni efficaci per gli operatori di rete che desiderano isolarsi da esso.
Gli attacchi DDos (Distributed Denial of Service) funzionano dirigendo il traffico da diverse fonti su Internet per sopraffare la capacità di un sistema mirato. Sebbene i ricercatori abbiano introdotto numerose tecniche di mitigazione e difesa per proteggere gli utenti da questi attacchi, stanno ancora proliferando. Gli attacchi di inondazione dei collegamenti (LFA) sono un tipo specifico di attacchi DDoS che prendono di mira i collegamenti dell'infrastruttura, che vengono in genere lanciati da botnet.
"Durante le indagini su come un ISP potrebbe difendersi da solo contro massicci attacchi di negazione del servizio, ci siamo resi conto che la stessa tecnica che stavamo usando per difenderci dagli attacchi poteva essere usata da un avversario per abbattere la nostra stessa difesa, " Jared Smith, uno dei ricercatori che ha condotto lo studio, ha detto a TechXplore. "Questo ci ha portato a esplorare quanto bene questa tecnica, avvelenamento da BGP, potrebbe essere utilizzato per effettuare un tale attacco."
Mentre cercavano di sviluppare difese contro gli attacchi DDoS, Smith e i suoi colleghi Tyler McDaniel e Max Schuchard hanno esplorato come la capacità di un avversario di influenzare le decisioni di instradamento (cioè il suo accesso a un protocollo gateway di confine compromesso o a un altoparlante BGP) può modellare a proprio vantaggio i processi di selezione del percorso delle reti remote. Durante la loro indagine, hanno identificato un nuovo tipo di attacco LFA, che chiamarono l'attacco del Maestro.
"Stiamo ricercando attacchi DDoS contro i collegamenti all'infrastruttura Internet, " McDaniel ha detto a TechXolore. "Questi attacchi sono limitati dalle caratteristiche di routing di Internet, perché le sorgenti DDoS non hanno sempre una destinazione per il loro traffico che attraversa un collegamento di destinazione. L'attacco Maestro sfrutta le vulnerabilità nella lingua utilizzata dai router Internet per comunicare (cioè BGP) per superare questa limitazione."
L'attacco Maestro funziona distribuendo messaggi BGP fraudolenti (cioè avvelenati) da un router Internet per incanalare il traffico in entrata (cioè il traffico che scorre nel router) su un collegamento di destinazione. Contemporaneamente, dirige un attacco DDoS contro lo stesso router utilizzando una botnet, che alla fine incanala il traffico DDoS sul collegamento di destinazione.
In altre parole, Maestro orchestra la selezione del percorso dei sistemi autonomi (AS) remoti e delle destinazioni del traffico dei bot, al fine di indirizzare flussi dannosi su collegamenti che sarebbero altrimenti inaccessibili alle botnet. Per eseguire questo attacco, un utente dovrebbe disporre di due strumenti chiave:un router perimetrale in alcuni AS compromessi e una botnet.
"Per uno dei nostri principali modelli di botnet, Mirai, un attaccante Maestro ben posizionato può aspettarsi di portare un milione di host infetti aggiuntivi sul collegamento di destinazione rispetto a un collegamento DDoS tradizionale, " ha detto McDaniel. "Questo numero rappresenta completamente un terzo dell'intera botnet".
Secondo i ricercatori, per isolarsi da questo attacco, o almeno mitigare il rischio di diventare un bersaglio, gli operatori di rete dovrebbero filtrare i messaggi BGP avvelenati. interessante, però, gli studi condotti nel loro laboratorio hanno rivelato che la maggior parte dei router attualmente non filtra questi messaggi.
"Un avversario che può compromettere o acquistare un router Internet può diffondere messaggi fraudolenti per intensificare gli attacchi all'infrastruttura di Internet, " ha detto McDaniel. "Questo è preoccupante, perché il lavoro precedente ha sollevato lo spettro del collegamento DDoS su larga scala che viene utilizzato come arma per isolare installazioni o intere regioni geografiche da Internet."
Oltre a introdurre l'attacco Maestro, lo studio condotto da Smith, McDaniel e Schuchard forniscono ulteriori prove che BGP, così com'è, non è più un ideale, protocollo di routing scalabile e sicuro. Questo era già stato suggerito da studi precedenti, nonché dai recenti incidenti, come l'operazione di frode 3ve e il dirottamento di China Telecom. Secondo i ricercatori, sebbene aggiornamenti come il blocco peer potrebbero aiutare a prevenire questo attacco specifico, sostituendo BGP con uno completamente nuovo, sistema di nuova generazione (es. SCION) sarebbe la soluzione più efficace.
"Andando avanti, stiamo esplorando principalmente due direzioni, " Smith ha detto. "In primo luogo, parlando con gli operatori ISP di Maestro, abbiamo trovato opinioni divergenti su quanto Internet sia effettivamente vulnerabile. Il nostro laboratorio ha una storia di misurazione attiva del comportamento di Internet e stiamo lavorando per misurare l'intuizione dell'operatore umano rispetto al comportamento effettivo di Internet. Secondo, stiamo già riscontrando ottimi risultati nell'estensione del funzionamento di Maestro anche quando non si dispone di un'enorme botnet disponibile."
© 2019 Scienza X Rete