Установено е, че нов вектор на атака за отказ на услуга (DoS) е насочен към протоколи на приложното ниво, базирани на User Datagram Protocol (UDP), което вероятно излага на риск стотици хиляди хостове.

Наречен Loop DoS атаки, подходът свързва „сървърите на тези протоколи по такъв начин, че те комуникират помежду си безкрайно дълго“, заявиха изследователи от Центъра за информационна сигурност CISPA Helmholtz.

UDP по замисъл е протокол без връзка, който не потвърждава IP адресите на източника, което го прави уязвим за подправяне на IP адреси.

По този начин, когато нападателите подправят няколко UDP пакета, за да включат IP адрес на жертва, сървърът на местоназначението отговаря на жертвата (за разлика от субекта на заплахата), създавайки отразена атака за отказ на услуга (DoS).

Последното проучване установи, че някои реализации на протокола UDP, като DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD и Time, могат да бъдат използвани като оръжие за създаване на самоподдържащ се цикъл на атака.

„Тя сдвоява две мрежови услуги по такъв начин, че те продължават да отговарят на съобщенията една на друга безкрайно дълго време“, казват изследователите. „По този начин те създават големи обеми трафик, които водят до отказ на услуга за участващите системи или мрежи. След като веднъж се инжектира тригер и цикълът се задейства, дори нападателите не са в състояние да спрат атаката.“

Казано по-просто, при наличие на два сървъра за приложения, работещи с уязвима версия на протокола, участникът в заплахата може да започне комуникация с първия сървър, като подмени адреса на втория сървър, карайки първия сървър да отговори на жертвата (т.е. на втория сървър) със съобщение за грешка.

Жертвата, от своя страна, също ще прояви подобно поведение, изпращайки обратно друго съобщение за грешка на първия сървър, като на практика изчерпва ресурсите си и прави всяка от услугите неотзивчива.

„Ако грешка на входа създаде грешка на изхода и втората система се държи по същия начин, тези две системи ще продължат да изпращат съобщения за грешки напред-назад до безкрайност“, обясняват Йепенг Пан и Кристиан Росов.

CISPA заяви, че около 300 000 хоста и техните мрежи могат да бъдат използвани за извършване на Loop DoS атаки.

Въпреки че понастоящем няма доказателства, че атаката е била въоръжена в дивата природа, изследователите предупредиха, че експлоатацията е тривиална и че са засегнати множество продукти на Broadcom, Cisco, Honeywell, Microsoft, MikroTik и Zyxel.

„Атакуващите се нуждаят от един-единствен хост, способен да подправя, за да задействат цикли“, отбелязват изследователите. „Поради това е важно да се поддържат инициативи за филтриране на подправен трафик, като например BCP38“.