BotTorrent? Využití BitTorrentu jako nástroje pro DDoS útoky
Na nedávné Chaos Communications Congress byl prezentován způsob, jak relativně snadno použít torrentové swarmy pro útok na webové servery. Slabina v technologii takzvaných beztrackerových torrentů (trackerless torrents) umožňuje útočníkovi obelstít torrentové klienty, kteří právě stahují populární soubory, aby začaly posílat tisíce požadavků na vybraný server. V podstatě se tak z torrentu stane velice účinný nástroj DDoS útoků.
Překlad článku BotTorrent? Using BitTorrent as a DDoS Tool publikovaného pod licencí Creative Commons BY-SA.
BitTorrent je jedna z nejefektivnějších technologií pro masové přenášení velkých souborů. Na rozdíl od centralizovaného přístupu, jsou přenosy tím rychlejší, čím víc lidí stahuje a sdílí daný soubor. To je jedním z důvodů, proč se v posledních letech stal nejpoužívanějším nástrojem pro sdílení souborů.
Každý den miliony lidí používají BitTorrent. V některých případech jsou určité soubory sdíleny více jak 100000 lidmi najednou. Tyto velké roje (neboli swarmy) sdílečů jsou důležité pro chod celé sítě, ale zároveň představují možnou hrozbu, jak nedávno vyšlo najevo na Chaos Communications Congress.
V přednášce nazvané „Lying To The Neighbours“ bylo demonstrováno jak může být technologie DHT, která stojí za beztrackerovými torrenty, zneužita k tomu, aby torrentoví klienti provedli efektivní DDoS vybraného serveru. Normální funkcí DHT je najít uživatele, kteří stahují stejný soubor, ale bez komunikace s centrálním serverem. To zaručuje, že stahování může pokračovat i když je centrální tracker offline.
Podle přednášejícího, který vystupoval pod jménem 'Astro', může být DHT založené na Kademlia zneužito zlovolným peerem k provedení DDoS útoku. Pokud soubor stahuje dostatečné množství lidí, může být takto sestřelena i velký webový server. Zneklidňující je, že lidé kteří stahují napadený soubor, se tak podílejí na DDoS útoku aniž by o tom měli tušení.
„Jádro problému spočívá v náhodných NodeID. Hešování adresy a verifikace funguje pro scénáře jako je starý internet, ale začne být téměř nepoužitelné ve velkých adresních prostorech IPv6,“ komentoval Astro pro server TorrentFreak. Výsledkem je, že každý torrentový swarm může být zacílen na specifickou internetovou stránku a potenciálně ji vyřadit z provozu.
Tato a další zranitelnosti DHT nejsou úplné novinky pro vývojáře BitTorrentu. Už byly několikrát projednávány, ale nikdy se nerozhodlo, jak by měly být řešeny.
Během posledních měsíců byly DDoS útoky často tématem dne, zejména pod hlavičkou Operace Payback skupiny Anonymous. Útoky na proti-pirátské organizace jako je MPAA nebo RIAA byly úspěšné a Operace Payback se v posledním měsíci zaměřila na organizace, které jednaly proti Wikileaks, jako třeba Mastercard nebo Paypal.
Zatímco tyto útoky vyžadovaly tisíce aktivních účastníků, kteří najednou spustí LOIC; DDoS pomocí torrentu může sestřelit stejně velké weby z jediného počítače, který využije torrentový swarm jako svůj botnet. Ale kde je problém, tam je i řešení a Astro má pár rad pro vývojáře BitTorrentu.
Nepřipojovat se k privilegovaným portům (0-1024), na kterých naslouchá nejvíce kritických aplikací," je jedno ad hoc řešení, ale podle Astra jde o chybu v návrhu, takže by musel být opraven samotný protokol.
Nápad použít BitTorrent k DDoS útokům není úplně nový. Ve skutečnosti, vědci už dříve ukázali, že přidání IP adresy webserveru do BitTorrent tracker could může vést k podobnému útoku. Nevýhodou této metody nicméně je, že vyžaduje, aby se zákeřný torrent soubor stal populárním, zatímco DHT metoda může jednoduše zneužít už existující torrenty, které jsou stahovány tisícovkami uživatelů.
Ještě bude zajímavé sledovat, jestli BitTorrent vývojáři v následujících měsících zareagují na zranitelnost DHT a přijdou s řešením, jak předejít podobném zneužití.