Riporto una spiegazione efficace del problema lasciata da @navigatore anonimo proprio sul sito di antirez che ha subito tra gli altri l'attacco:
"in sostanza (IMHO) l'attacco può essere portato se si ha già il controllo di uno o più hub : in quel caso lo status di operatore dovrebbe garantire la possibilità di aggiungere altri hubs ; ciò che ha fatto questo "operatore" è inserire nomedelsito.com nella lista degli hubs di dc++ con la conseguenza che i client collegati al suo/ ai suoi hub(s) hanno iniziato a inoltrare richieste verso nomedelsito.com : le versioni precedenti del client non è che siano buggati nel senso stretto della parola ; semplicemente "credono" che ogni hub nella lista sia valido e quindi continuano a inoltrare le richieste. Ciò che la nuova versione del client ha introdotto è un limite ai tentativi di connessione verso un hub che risponde "picche" : in sostanza dopo un tot di tentativi non andati a buon fine (rifiuto di connessione da parte dell'hub) , il client lo esclude dagli hubs validi e non tenta più di connettersi. Su emule ad esempio questo limite è di tre tentativi. Tuttavia finchè tutti i client della rete dc++ non saranno aggiornati , il problema potrebbe ripresentarsi per via delle stesso o di un altro "mattacchione" di turno. "
request failed: erroneous characters after protocol string:
$MyNick (comhem)loan|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.690ABCABC|
Così si presenta nei log di apache questo attacco.
Oltre al sito di antirez, nei 3 mesi trascorsi più di 40 compagnie sono state attaccate da centinaia di migliaia di IP, che producevano più di 1 igabit di dati ogni secondo. causando problemi per routers e firewall.
Al contrario del passato, quando si usavano migliaia di server compromessi per creare dei DOS, o una rete, l'ultima serie di attacchi viene perpetrata -invece-, tramite software di connessione p2p chiamato DC++. Sofware basato sul protocollo Direct Connect. Le directories dove cercare file o scambiarsi messaggi si chiamano hubs. Le vecchie versioni di questi client direct connect permettono di ottenere informazioni da altri server, dice Fredrik Ullner, uno degli sviluppatori di DC++ e studente di informatica alla Lund Institute of Technology. Redirettando questi client verso un sito web, si ottiene l'effetto desiderato, ovvero un attacco DOS. Questo attacco, dovrebbe essere già noto ai più dal 2005. Il primo attacco del genere è stato rivolto ad Hublist.org. Una volta reso inaccessibile hublist.org, con lo stesso attacco sono stati colpiti i server di DCPP.net, il sito del progetto, costringendo gli sviluppatori a muovere il tutto su SourceForge. "Questi attacchi stanno accadendo sempre più frequentemente" ripete Ullner Il più largo attacco di questo genere è stato effettuato attraverso 300,000 computers. Mentre il problema risulta essere stato fixato negli hub software è difficile forzare gli utenti a scaricare l'ultima versione dipsonibile del client, diceUllner. "Gli attaccanti sfruttano la riluttanza degli utenti ad aggiornare il software"-continua. LA soluzione più efficace al problema visto che il three-way-handshake del protocollo TCP non viene completato e quindi non si crea la connessione , la propone antirez stesso e può essere quella di filtrare i vari client che vanno in time-out. Uno di questi dal log appare il DC++0.690.Tags: Internet, Web, WebServer, sicurezza
Articoli correlati
Random
