Manipulując pakietami protokołu BitTorrent można zmusić użytkowników tej sieci P2P do przeprowadzenia nieświadomego, ale potężnego ataku DDoS na dowolnie wybrany serwer.

BitTorrent wzmacnia ataki DDoS

Podczas ostatniej konferencji CCC, Astro zaprezentował jak wykonać DDoS-a, korzystając z zasobów niczego nie świadomych użytkowników sieci BitTorrent. Atak polega na wykorzystaniu funkcji połączeń beztrackerowych, czyli DHT.

Tryb DHT (algorytm Kademlia) szuka peerów, którzy mają kawałki ściąganego pliku i nie korzysta w tym celu z połączeń do trackera. Atakujący szuka popularnego torrenta (im więcej peerów, tym lepiej) i ściągającym go klientom wysyła podstawioną informację, nakłaniając ich tym samym do ściągania fragmentów pliku ze wskazanego adresu (cel DDoS-a).

Spoofing, injection, to już było?

Podobne ataki miały już miejsce - polegały one jednak na dodaniu do torrenta trackera o adresie IP webserwera, którego chcieliśmy zDDoS-ować. Aby taki atak się udał, torrent musiał stać się bardzo popularny. W przypadku DDoS-ów via DHT, nie mamy tego ograniczenia, możemy od razu podpiąć się pod dowolny popularny torrent i rozgłosić odpowiedni adres.

Wygląda na to, że Anonimowi będą teraz mieli nową, oprócz LOIC-a zabawkę do swoich psot.

Jak się obronić?

Ponieważ jest to błąd projektowy, aby go usunąć, trzeba będzie zmienić protokół BitTorrenta. Zanim to nastąpi, przed wykorzystaniem naszego komputera w atakach DDoS możemy się bronić poprzez zablokowanie klientowi BitTorrenta połączeń wychodzących na porty niższe niż 1024, np. w ten sposób:

uTorrent -> Preferences -> Advance
bt.no_connect_to_services true
bt.no_connect_to_services_list 25,110,80,443

autor:MARKEN