تشدیدحملات DDoS از طریق mDNS
بیش از 100,000 دستگاه از یک پیکربندی نادرست برای پروتکل multicast DNS استفاده می کنند که درخواست ها را از اینترنت می پذیرد و می تواند به طور بالقوه مورد سواستفاده جهت تشدید حملات DDoS از طریق mDNS قرار گیرد.
حملات DDoS، یکی از رایج ترین محبوب ترین حملات توسط هکرها میباشد. راه های زیادی برای کاهش شدت حمله DDoS وجود دارد که قبلا در سایت سدیدآفرین به آن ارشاره شده است. شما میتوانید با خواندن مقاله نحوه کاهش شدت حمله DDoS توزیع شده در هنگام وقوع ، آگاهی خود را در این زمینه افزایش دهید.
Multicast Domain Name System ) mDNS) پروتکلی است که به دستگاهای موجود در یک شبکه محلی اجازه می دهد یکدیگر را پیدا کرده و همچنین از سرویس های یکدیگر آگاه شوند. mDNS به وسیله PCها و سیستم NAS network attached storage ، پرینتر و .. استفاده می شود.
پروتکل mDNS اجازه ارسال کوئری را به یک ماشین خاص با استفاده از آدرس منحصر به فرد آن می دهد. سازمان های رسمی توصیه می کنند هنگامی که چنین کوئری دریافت شد، سرویس mDNS باید قبل از پاسخ ، بررسی کند آدرسی که این درخواست محلی را ساخته در همان زیر شبکه محلی باشد. اگر این اتفاق نیافتد درخواست نادیده گرفته می شود.
یک محقق امنیتی به نام چاد سیمن کشف کرده است که برخی پیاده سازی های mDNS از این توصیه پیروی نمی کنند و به کوئری هایی که از اینترنت دریافت می شود پاسخ می دهند. این امر باعث ایجاد مشکل در دو بخش مهم میشود.
اول ،بسته به نوع کوئری،mDNS می تواند اطلاعات حساسی در مورد دستگاه و سرویس های آن، شامل مدل، شماره سریال، نام هاست، آدرس فیزیکی MAC، تنظیمات شبکه و … فاش کند. این اطلاعات به طور بالقوه به هکرها کمک می کند که برنامه ریزی بهتری برای حمله داشته باشند.
بخش دوم جدی تر است. چون پاسخ mDNS به طور قابل توجهی بزرگتر از کوئری ارسال شده توسط هکر است، و همچنین IP آدرس منبع اصلی مخفی میماند که همین امر باعث میشود دستگاه هایی که کوئری mDNS را از اینترنت دریافت می کنند مورد سواستفاده جهت تشدید حملات DDos قرار گیرند.
ویژگی DDoS reflection کمک می کند تا مهاجمان منبع اصلی عامل ترافیک مخرب را پنهان کنند. به جای ارسال مستقیم بسته ها، مهاجمان می توانند کوئری mDNSای را با آدرس منبع جعلی برای دستگاه های آسیب پذیر ارسال کنند که باعث ارسال پاسخ ناخواسته به آدرس IP قربانی می شود.