DDoS攻擊威脅存在已久,近年來的變化速度卻愈來愈快,駭客利用網路協定所存在的漏洞,將各種網路設備變成殭屍電腦的一份子,如:印表機、路由器、網路攝影機(其中不乏國內與國際知名品牌),再利用它們發動大規模DDoS攻擊,或是竊取裡面的資料。
資安廠商Prolexic日前發表安全報告指出,現今具有嚴重漏洞的網路協定共有三種:簡單網路管理協定(SNMP)、網路時間協定(NTP)以及字元產生協定(CHARGEN),這三個協定目前被廣泛應用在網路設備和系統配置中。此外,今(2013)年2月Rapid7也發現,通用隨插即用(Universal Plug and Play,UPnP)協定會導致網路設備遭遠端攻擊。
SNMP可以蒐集連網設備的資訊(如:效能),以進行遠端管理,其全問題包括:有些版本是以人類可讀的形式傳輸,容易遭受攔截和修改資料、無法驗證SNMP的來源,容易遭受不明IP所騙、所有版本的SNMP都難以抵擋暴力(brute force)攻擊…等。
Prolexic指出,攻擊者可以透過這些漏洞控制連網設備,並在某些情況下,可以特別設計IP發出的請求以提升流量,最高可將流量提昇至7.5倍,同樣的問題也發生在NTP和CHARGEN上,NTP被用來校正電腦的網路時間,攻擊者可以從多個主機向NTP發出請求,並將回應導向同樣一台目標電腦上,CHARGEN的遠端調校量測工具也存在漏洞,讓攻擊者可以製作惡意工具包,以進行DDoS攻擊。
無獨有偶地,另一家安全廠商Independent Security Evaluators於4/17發布的報告,與Prolexic有相同發現。Independent Security Evaluators報告針對市面上普遍使用的無線路由器進行測試,結果發現,許多家用與商用WiFi路由器相當容易被駭,攻擊者不需要太複雜的技術就可存取其中的資料,並進而控制。
漏洞分析師Craig Heffner表示,這個問題相當嚴重,因為WiFi路由器一旦遭駭,那麼如信用卡號碼、電子郵件、機密文件、密碼、照片等等資料,就如同暴露在陽光下任駭客予取予求。Prolexic首席安全架構師Terrence Gareau則建議,企業如果不需要使用這些網路協定,最好能立即停用,禁止回應來自這些協定的存取需求,避免其網路設備被利用做為DDoS攻擊的工具。