Ученые нашли способ организовать DoS-атаки с помощью китайского брандмауэра

Ученые из Кембриджского университета нашли способ организовать DoS-атаки против Китая с использованием его собственного брандмауэра.

Специалисты из Кембриджа утверждают, что они не только пробили брешь в Великой китайской стене, но и нашли способ использовать брандмауэр для организации атаки на отказ в обслуживании против определенных IP-адресов в этой стране.

Брандмауэр, в котором используются маршрутизаторы Cisco, работает, в частности, проверяя веб-трафик на определенные ключевые слова, которые правительство Китая хочет отфильтровать, включая термины политических идеологий и названия запрещенных групп.

Исследователи Кембриджа протестировали брандмауэр пакетами данных, содержащими слово Falun из названия запрещенного религиозного течения Falun Gong. Они обнаружили, что китайские системы предупреждения вторжений (IDS) можно обойти, игнорируя искусственные сигналы сброса протокола TCP, выдаваемые китайскими маршрутизаторами, что обычно заставляет удаленные узлы разрывать соединение.

«Машины в Китае позволяют пакетам данных свободно входить и выходить, но при обнаружении определенных ключевых слов посылают сигналы сброса для разъединения связи, — пояснил Ричард Клейтон из компьютерной лаборатории Кембриджского университета. — Если игнорировать все пакеты сброса на обоих концах соединения, что сделать относительно легко, веб-страница отлично пропускается».

Клейтон добавил, что это означает, что китайский брандмауэр можно использовать для организации DoS-атак против определенных адресов в Китае, включая адреса самого правительства.

IDS использует адресный сервер без поддержки хранения адресов, который проверяет каждый пакет данных, как входящий, так и исходящей, отдельно, вне зависимости от каких-либо предыдущих запросов. Фальсифицируя исходные адреса пакетов, содержащих «запрещенное» слово, можно заставить брандмауэр блокировать связь между адресами источника и конечного узла на время до одного часа.

Если атакующий определил машины, используемые региональными властями, он может заблокировать им доступ к Windows Update или нарушить связь зарубежных посольств Китая с определенным веб-контентом внутри страны. «В силу конструкции брандмауэра единственный пакет, направленный от имени высокого партийного лица, может заблокировать этому лицу доступ в веб», — утверждает Клейтон.

Несмотря на то, что этот метод позволяет блокировать только связь между двумя конкретными точками в интернете, исследователи вычислили, что один злоумышленник, пользующийся dial-up соединением, может организовать «достаточно эффективную» атаку типа denial of service. Если он будет передавать 100 запускающих пакетов в секунду, и каждый пакет вызовет 20-минутное нарушение связи, то за один сеанс можно нарушить связь между 120 тыс. пар узлов.

Клейтон, выступивший на прошлой неделе с докладом на шестом семинаре по технологиям повышения приватности в Кембридже, сказал, что исследователи сообщили о своих находках в китайский центр реагирования на непредвиденные ситуации, связанные с компьютерами (Chinese Computer Emergency Response Team, CERT).

ZDNet.ru