• Home
  • Chimie
  • Astronomie
  • Énergie
  • La nature
  • Biologie
  • Physique
  • Électronique
  • Maestro :une nouvelle attaque qui orchestre les flux malveillants avec BGP

    Démonstration de l'attaque Maestro :utiliser l'empoisonnement BGP pour réduire le trafic du botnet sur un seul lien. Crédit :McDaniel et al.

    Des chercheurs de l'Université du Tennessee ont récemment identifié l'attaque Maestro, une nouvelle attaque par inondation de liens (LFA) qui exploite les techniques d'ingénierie de contrôle du trafic aérien pour concentrer les flux de déni de service distribué (DDos) provenant de botnets sur les liaisons de transit. Dans leur papier, récemment publié sur arXiv, les chercheurs ont décrit ce type d'attaque, essayé de comprendre sa portée et présenté des mesures d'atténuation efficaces pour les opérateurs de réseau qui souhaitent s'en isoler.

    Les attaques par déni de service distribué (DDos) fonctionnent en dirigeant le trafic provenant de différentes sources sur Internet pour dépasser la capacité d'un système ciblé. Bien que les chercheurs aient introduit de nombreuses techniques d'atténuation et de défense pour protéger les utilisateurs contre ces attaques, ils continuent de proliférer. Les attaques par inondation de liens (LFA) sont un type spécifique d'attaques DDoS qui ciblent les liens d'infrastructure, qui sont généralement lancés à partir de botnets.

    « En enquêtant sur la capacité d'un FAI à se défendre seul contre les attaques massives par déni de service, nous avons réalisé que la même technique que nous utilisions pour nous défendre contre les attaques pouvait être utilisée par un adversaire pour abattre notre propre défense, " Jared Smith, l'un des chercheurs qui a mené l'étude, a déclaré TechXplore. « Cela nous a conduit à explorer à quel point cette technique, empoisonnement au BGP, pourrait être utilisé pour mener une telle attaque.

    Alors qu'ils tentaient de développer des défenses contre les attaques DDoS, Smith et ses collègues Tyler McDaniel et Max Schuchard ont exploré comment la capacité d'un adversaire à influencer les décisions de routage (c'est-à-dire son accès à un protocole de passerelle frontière ou à un haut-parleur BGP compromis) peut façonner les processus de sélection de chemin des réseaux distants à leur avantage. Au cours de leur enquête, ils ont identifié un nouveau type d'attaque LFA, qu'ils ont appelé l'attaque Maestro.

    "Nous recherchons des attaques DDoS contre des liens d'infrastructure Internet, " McDaniel a déclaré à TechXolore. " Ces attaques sont limitées par les caractéristiques de routage Internet, car les sources DDoS n'ont pas toujours de destination pour leur trafic qui traverse un lien cible. L'attaque Maestro exploite les vulnérabilités dans la langue que les routeurs Internet utilisent pour communiquer (c'est-à-dire BGP) pour surmonter cette limitation."

    L'attaque Maestro fonctionne en distribuant des messages BGP frauduleux (c'est-à-dire empoisonnés) à partir d'un routeur Internet pour canaliser le trafic entrant (c'est-à-dire le trafic entrant dans le routeur) sur un lien cible. Simultanément, il dirige une attaque DDoS contre le même routeur en utilisant un botnet, qui achemine finalement le trafic DDoS sur le lien cible.

    En d'autres termes, Maestro orchestre la sélection du chemin des systèmes autonomes distants (AS) et des destinations du trafic des bots, afin de diriger des flux malveillants vers des liens qui seraient autrement inaccessibles aux botnets. Pour mener à bien cette attaque, un utilisateur aurait besoin de deux outils clés :un routeur de périphérie dans un AS compromis et un botnet.

    "Pour l'un de nos principaux modèles de botnet, Mirai, un attaquant Maestro bien positionné peut s'attendre à amener un million d'hôtes infectés supplémentaires sur le lien cible par rapport à un lien DDoS traditionnel, " a déclaré McDaniel. " Ce nombre représente un tiers de l'ensemble du botnet. "

    Selon les chercheurs, afin de s'isoler de cette attaque, ou au moins atténuer le risque de devenir une cible, les opérateurs de réseau doivent filtrer les messages BGP empoisonnés. De façon intéressante, cependant, des études menées dans leur laboratoire ont révélé que la plupart des routeurs ne filtrent actuellement pas ces messages.

    "Un adversaire qui peut compromettre ou acheter un routeur Internet peut diffuser des messages frauduleux pour intensifier les attaques sur l'infrastructure Internet, " dit McDaniel. " C'est troublant, parce que des travaux antérieurs ont soulevé le spectre d'un DDoS de liaison à grande échelle utilisé comme arme pour isoler des installations ou des régions géographiques entières d'Internet. »

    En plus d'introduire l'attaque Maestro, l'étude menée par Smith, McDaniel et Schuchard fournissent une preuve supplémentaire que BGP, tel qu'il est, n'est plus un idéal, protocole de routage évolutif et sécurisé. Cela avait déjà été suggéré par des études antérieures, ainsi que par des incidents récents, comme l'opération de fraude 3ve et le détournement de China Telecom. Selon les chercheurs, bien que des mises à niveau telles que le verrouillage par les pairs puissent aider à empêcher cette attaque spécifique, remplacer BGP par un tout nouveau, système de nouvelle génération (par exemple SCION) serait la solution la plus efficace.

    "En avant, nous explorons principalement deux directions, " Smith a dit. " D'abord, en discutant avec les opérateurs ISP de Maestro, nous avons trouvé des opinions divergentes sur la vulnérabilité réelle d'Internet. Notre laboratoire a l'habitude de mesurer activement le comportement d'Internet et nous travaillons à mesurer l'intuition de l'opérateur humain par rapport au comportement réel d'Internet. Seconde, nous observons déjà de solides résultats pour étendre Maestro pour qu'il fonctionne même lorsque vous n'avez pas un énorme botnet disponible."

    © 2019 Réseau Science X




    © Science https://fr.scienceaq.com