Pesquisadores da Universidade do Tennessee identificaram recentemente o ataque Maestro, um novo ataque de inundação de link (LFA) que aproveita técnicas de engenharia de controle de tráfego de avião para concentrar fluxos de negação de serviço (DDos) distribuídos de origem de botnet em links de trânsito. Em seu jornal, publicado recentemente no arXiv, os pesquisadores delinearam este tipo de ataque, tentou entender seu escopo e apresentou mitigações eficazes para os operadores de rede que desejam se isolar dele.

Ataques distribuídos de negação de serviço (DDos) funcionam direcionando o tráfego de diferentes fontes na Internet para sobrecarregar a capacidade de um sistema visado. Embora os pesquisadores tenham introduzido várias técnicas de mitigação e defesa para proteger os usuários contra esses ataques, eles ainda estão proliferando. Ataques de inundação de link (LFA) são um tipo específico de ataques DDoS que visam links de infraestrutura, que normalmente são lançados a partir de botnets.

"Ao investigar o quão bem um ISP pode se defender sozinho contra ataques massivos de negação de serviço, percebemos que a mesma técnica que estávamos usando para nos defendermos de ataques poderia ser usada por um adversário para derrubar nossa própria defesa, "Jared Smith, um dos pesquisadores que realizou o estudo, disse TechXplore. "Isso nos levou a explorar o quão bem esta técnica, Envenenamento por BGP, poderia ser usado para realizar tal ataque. "

Enquanto tentavam desenvolver defesas contra ataques DDoS, Smith e seus colegas Tyler McDaniel e Max Schuchard exploraram como a capacidade de um adversário de influenciar as decisões de roteamento (ou seja, seu acesso a um protocolo de gateway de bordo comprometido ou alto-falante BGP) pode moldar os processos de seleção de caminho de redes remotas a seu favor. Durante sua investigação, eles identificaram um novo tipo de ataque LFA, que eles chamaram de ataque Maestro.

"Estamos pesquisando ataques DDoS contra links de infraestrutura da Internet, "McDaniel disse à TechXolore." Esses ataques são limitados pelas características de roteamento da Internet, porque as origens de DDoS nem sempre têm um destino para seu tráfego que cruza um link de destino. O ataque Maestro explora vulnerabilidades na linguagem que os roteadores da Internet usam para se comunicar (ou seja, BGP) para superar essa limitação. "

O ataque Maestro funciona distribuindo mensagens BGP fraudulentas (ou seja, envenenadas) de um roteador de Internet para canalizar o tráfego de entrada (ou seja, o tráfego que flui para o roteador) em um link de destino. Simultaneamente, ele direciona um ataque DDoS contra o mesmo roteador usando um botnet, que, em última instância, canaliza o tráfego DDoS para o link de destino.

Em outras palavras, Maestro orquestra a seleção de caminhos de sistemas autônomos remotos (ASes) e destinos de tráfego de bots, para direcionar fluxos maliciosos para links que, de outra forma, seriam inacessíveis para botnets. Para realizar este ataque, um usuário precisaria de duas ferramentas principais:um roteador de borda em algum AS comprometido e um botnet.

"Para um dos nossos principais modelos de botnet, Mirai, um atacante Maestro bem posicionado pode esperar trazer um milhão de hosts infectados adicionais para o link de destino em comparação com um DDoS de link tradicional, "McDaniel disse." Este número representa um terço de todo o botnet. "

De acordo com os pesquisadores, a fim de se isolar deste ataque, ou pelo menos mitigar o risco de se tornar um alvo, os operadores de rede devem filtrar mensagens BGP envenenadas. Interessantemente, Contudo, estudos realizados em seu laboratório revelaram que a maioria dos roteadores atualmente não filtra essas mensagens.

"Um adversário que pode comprometer ou comprar um roteador de Internet pode disseminar mensagens fraudulentas para intensificar os ataques à infraestrutura da Internet, "McDaniel disse." Isso é preocupante, porque o trabalho anterior levantou o espectro de DDoS de link em grande escala sendo transformado em arma para isolar instalações ou regiões geográficas inteiras da Internet. "

Além de apresentar o ataque Maestro, o estudo realizado por Smith, McDaniel e Schuchard fornecem mais evidências de que o BGP, como está, não é mais um ideal, protocolo de roteamento escalonável e seguro. Isso já foi sugerido por estudos anteriores, bem como por incidentes recentes, como a operação de fraude 3ve e o sequestro da China Telecom. De acordo com os pesquisadores, embora atualizações como bloqueio de pares possam ajudar a prevenir este ataque específico, substituindo o BGP por um totalmente novo, sistema de próxima geração (por exemplo, SCION) seria a solução mais eficaz.

"Daqui para frente, estamos explorando principalmente duas direções, "Smith disse." Primeiro, enquanto conversava com operadores de ISP sobre o Maestro, encontramos opiniões divergentes sobre o quão vulnerável a Internet realmente é. Nosso laboratório tem um histórico de medir ativamente o comportamento da Internet e estamos trabalhando para medir a intuição do operador humano em relação ao comportamento real da Internet. Segundo, já estamos vendo bons resultados para estender o Maestro para funcionar, mesmo quando você não tem um grande botnet disponível. "

© 2019 Science X Network