На 27-м конгрессе CCC (Chaos Communication Congress) в Берлине обсуждалась тема DDoS-атак через DHT.
Использовать BitTorrent для DDoS умели и раньше: нужно было прописать IP-адрес жертвы в качестве трекера - и он получал множество запросов. Но проблема в том, что для подобного способа нужен популярный торрент.
Новая методика экплойта DHT дает возможность использовать уже существующую сеть пиров. Если вкратце, то алгоритм такой: надо стать популярным пиром в сети, чтобы получать много запросов find_node от соседних пиров.
Каждый день миллионы людей скачивают торренты, а в некоторых случаях один и тот же файл качают более 100 тыс. пользователей одновременно. Такие скопления юзеров вполне естественно привлекают внимание злоумышленников, которые ищут способ применить толпу с пользой.
Протокол DHT позволяет обнаруживать новые пиры, скачивающие тот же файл, без обращения к трекеру. Это позволяет продолжать закачку даже в случае падения трекера и удаления изначального торрента.
В своей презентации на CCC хакер под ником Astro рассказывает, как работает протокол Kademlia для DHT и почему в нем возможен обман соседних пиров с помощью фальшивых узлов (NodeID). В комментарии для TorrentFreak он объяснил, что "хэширование адресов и схема верификации хороша для старого Интернета, но становится практически бесполезной в большом адресном пространстве IPv6". В результате в сеть пиров можно подсунуть фальшивые "узлы", а пользователи будут участвовать в DDoS-атаке, сами того не замечая.
Конечно, практическое использование этого метода можно легко предотвратить. Например, запретить коннектиться к портам ниже 1024-го, где находится большинство критических сервисов.
Источник: securitylab.ru.
| 
