Преступники используют сервис Portmapper для увеличения мощности DDoS-атак

image

Теги: DDoS-атака, протокол, спуфинг, трафик

Используя IP-адрес цели, атакующие могут отправлять небольшие запросы к Portmapper и получать значительно большие ответы сервера.

Киберпреступники начали использовать сервис Portmapper с целью увеличения мощности осуществляемых ими DDoS-атак, а также сокрытия их происхождения, предупреждают специалисты американской компании Level 3 Communications.

Portmapper, также известный как rpcbind или portmap, является сервисом широко используемой системы удаленного вызова процедур (Open Network Computing Remote Procedure Call), разработанного для преобразования портов в вызовы соответствующих программ RPC. Portmapper использует механизм широковещательных сообщений RPC на определенный порт - 111. На этот порт клиент отправляет широковещательное сообщение запроса порта определенного сервиса RPC. Сервис Portmapper обрабатывает такое сообщение, определяет адрес локального сервиса RPC и отправляет клиенту ответ. RPC Portmapper может работать как с TCP, так и с UDP-протоколами.

Поскольку Portmapper принимает запросы по TCP и UDP на известном порту, этим могут воспользоваться злоумышленники. Так как протокол UDP позволяет осуществить IP-спуфинг, используя IP-адрес цели, преступники могут отправлять небольшие запросы к Portmapper. В результате, когда сервер получит запросы, он будет отправлять все ответы на адрес жертвы. Большой объем такого «отраженного» трафика может вывести из строя сервер/сеть жертвы.

За прошедшие три месяца специалисты отметили рост количества DDoS-атак, использующих данный вектор. Наиболее масштабные из них были осуществлены в период с 10 по 12 августа. В основном, целевыми для злоумышленников являлись предприятия игровой и гостиничной индустрии. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.