Будущее DDoS-атак за протоколом CoAP

Протокол RFC 7252, также известный как Constrained Application Protocol (CoAP), в скором времени может стать одним из самых популярных протоколов для осуществления DDoS-атак.

Многим название CoAP ни о чем не говорит, и неудивительно, ведь протокол был официально принят лишь в 2014 году и до недавнего времени почти не использовался. CoAP разрабатывался как легкий протокол межмашинного взаимодействия (M2M) специально для смарт-устройств, у которых память и вычислительные ресурсы весьма ограничены. Протокол действует подобно HTTP, но вместо TCP он работает поверх UDP – более легкого протокола, созданного в качестве альтернативы TCP.

Как и любой протокол на базе UDP, CoAP уязвим к спуфингу IP-адресов и техникам усиления пакетов – двум основным факторам для усиления DDoS-атак. Атакующий может отправить UDP-пакет клиенту CoAP (IoT-устройству), и клиент отправит в ответ пакет гораздо большего размера. Более того, поскольку CoAP уязвим к спуфингу IP-адресов, атакующий может заменить IP-адрес отправителя IP-адресом жертвы, и на нее обрушится волна усиленного CoAP трафика.

Разработчики CoAP реализовали в протоколе специальные функции для защиты от подобных атак. Тем не менее, при использовании этих функций в IoT-устройствах протокол CoAP становится менее легким. Поэтому многие производители отключают их, чтобы протокол был легче, однако в таком случае устройства остаются уязвимыми к DDoS-атакам.

Несмотря на обилие уязвимых устройств, киберпреступники не атаковали их, так как CoAP был совсем новым протоколом. Тем не менее, с ноября 2017 года число устройств, использующих протокол, стало стремительно расти. Похоже, злоумышленники осознали открывшиеся перед ними возможности, поскольку за последние несколько недель были зафиксированы первые DDoS-атаки с использованием CoAP.

Как сообщает ZDNet, в течение последнего месяца атаки с использованием протокола уже стали обыденным явлением. В среднем мощность атаки составляла 55 Гб/с, а в пиковые моменты достигала 320 Гб/с.

Источник