Специалисты по компьютерной безопасности из Лондонского городского университета опубликовали работу под драматичным названием «Пиринговый файловый обмен из ада: использование уязвимостей BitTorrent для запуска распределённых отражённых атак на отказ в обслуживании». В работе они поясняют, как им удалось заставить распространённые BitTorrent-клиенты участвовать в DRDOS атаках на интернет-сервера.
Атака DRDOS (не путать с операционной системой DR-DOS) состоит в том, чтобы отправлять на различные сервера очень много таких запросов, на которые эти сервера должны отвечать. При этом ip-адрес отправителя подделывается и заменяется на адрес жертвы. В результате все ответы валятся на сервер-жертву. Если количество запросов сделать слишком большим, сервер будет испытывать трудности с их обработкой.
Исследователи нашли недочёт в протоколе BitTorrent, который затрагивает uTP, DHT, Message Stream Encryption и BitTorrent Sync. Он позволяет не только закидать сервер-жертву ненужными ему запросами, но и увеличить трафик в 50 раз по отношению к потраченному (а в случае BTSync — и во все 120 раз). Их метод ищет компьютеры раздающих, отправляет им приветственный запрос, а вместо обратного адреса подсовывает адрес сервера, который необходимо атаковать.
Исследователи уже сообщили об уязвимости разработчикам BitTorrent, и те работают над патчами для различных продуктов. Но, естественно, моментально заменить все работающие с этим протоколом клиенты не представляется возможным. Пользователи старых клиентов могут стать соучастниками атаки, сами не подозревая этого — у них просто увеличится исходящий трафик.
Классические DDoS-атаки обычно организовывают через ботнет — сеть компьютеров, ставших подконтрольными злоумышленнику благодаря работе вирусов-троянов. Такие сети используют как для массовой рассылки спам-сообщений, так и для вывода из строя интернет-серверов путём отправки чрезмерного количества запросов.
