Макс Шукард разам са сваімі калегамі з Миннесотского ўніверсітэта (г. Мінеапаліс, ЗША) заявіў, што яго групе атрымалася знайсці спосаб парушыць працу Інтэрнэту ў глабальным маштабе.

Іста гэтага спосабу складаецца ў запуску размеркаванага нападу на адмову ў абслугоўванні, прычым мішэнню гэтага нападу павінны стаць так званыя «памежныя роутеры», абслуговыя пратакол BGP (Border Gateway Protocol – пратакол межавых шлюзаў). Менавіта такія роутеры выкарыстоўваюцца для падлучэння нацыянальных магістральных сетак да сетак іншых дзяржаў.

Пратакол BGP мае велізарную важнасць для працы сучаснага Інтэрнэту. Фактычна, гэта пратакол маршрутызацыі, які выкарыстоўваецца для абмену інфармацыяй аб маршрутах па ўсім Інтэрнэце. Без пратаколу BGP Інтэрнэт-правайдэры не могуць падлучаць свае сеткі сябар да сябра, а карыстачы, адпаведна, не могуць падлучацца да вэба-сайтам і вэб-сэрвісам па-за сваім лакальным інтранэтам. Паколькі канфігурацыя сеткавых падлучэнняў і роутеров стала змяняецца, роутеры і камутатары, абслуговыя пратакол BGP, павінны стала працаваць, каб падтрымліваць актуальнасць сеткавых карт для Інтэрнэту ў цэлым. Прасцей кажучы, працаздольнасць Інтэрнэту ў глабальным маштабе залежыць ад BGP-роутеров.

У сваім артыкуле для галіновага выдання ACM (Association for Computing Machinery – асацыяцыя па вылічальнай тэхніцы) «Losing control of the Internet: using the data plane to attack the control plane» (Страта кантролю над Інтэрнэтам: выкарыстанне ўзроўня дадзеных для нападу ўзроўня кіравання) Шукард апісвае тэарэтычны напад, як «Скаардынаванае межуровневое перапыненне сеансаў» (CXPST – Coordinated Cross Plane Session Termination). Фактычна, гэта размеркаваная DDoS-напад на кіравальны ўзровень Інтэрнэту. Канцэпцыя CXPST пашырае ранейшыя працы, у якіх паказаная ўразлівасць у роутерах, якая дапамагае зламыснікам раз'яднаць пару роутеров, выкарыстаючы толькі трафік на ўзроўні дадзеных. Дакладны выбар BGP-сеансу для перапынення дазваляе вырабіць «хірургічны ўдар» і запусціць цэлую хвалю BGP-абнаўленняў, якія будуць адлюстроўвацца практычна на ўсіх ключавых роутерах Інтэрнэту. Хваля BGP-абнаўленняў пераўзыходзіць вылічальныя магчымасці атакаваных роутеров, так што гэтыя роутеры не змогуць карэктна прымаць рашэнні аб маршрутызацыі пакетаў.

Прынцып CXPST-напады прадугледжвае выкарыстанне парадку 250 тысяч ПК, аб'яднаных у ботнет. Калі лічба здаецца неверагоднай, варта памятаць, што сучасныя ботнеты ўключаюць у сябе да 12,7 млн. ПК, як гэта даказана для «ботнета» Mariposa. Атрымліваецца, што па мерках сучасных ботнетов 250 тысяч ПК для CXPST-напады – гэта зусім трохі.

Калі ботнет для скаардынаванага нападу 250 тыс. ПК будзе створаны, канцэпцыя CXPST прапаноўвае выкарыстаць алгарытм, які Шукард назваў ZMW па прозвішчах аўтараў - Zhang, Mao і Wang (Чжан, Мао і Ван). Гэтыя трое даследнікаў апісалі алгарытм ZMW-напады ў сваёй працы «A Low-Rate TCP-Targeted DoS Attack Disrupts Internet Routing» (Нацэленая на пратакол TCP напад малога маштабу парушае роўтынг у Інтэрнэце). Чжан, Мао і Ван выявілі, што сеансы BGP-маршрутызацыі ў серыйных роутерах схільныя дзеянню выдаленых нападаў, што вядзе да скіду сеансаў і cерьезным парушэнням у стабільнасці марщрутизации і даступнасці вонкавых сетак.

Праца Шукарда з суаўтарамі паказвае, хоць і ў тэорыі, што ўжо цяпер існуюць метады для парушэння працы Інтэрнэту ў глабальным маштабе. Крыніца такіх нападаў даволі цяжка адсачыць, а вось наступствы могуць апынуцца разбуральнымі. У залежнасці ад пэўнага атакаванага BGP-роутера папакутаваць можа асобную ўстанову або Інтэрнэт у маштабах цэлай дзяржавы. Мяркуецца, што на ўзроўні дзяржавы можна спыніць распаўсюджванне збояў, адключыўшы нацыянальны сегмент Інтэрнэту ад глабальных магістральных сетак.

рэкамендуем прачытаць таксама

• Раздзел SanDisk занепакоены будучыняй флэш-памяці
• Новыя маніторы LG спалучаюць тэхналогіі IPS і LED
• AMD прадставіла абноўлены Catalyst Control Center
• Кулер Scythe Grand Kama Cross – калі назоў кажа самога за сябе
• Новыя драйверы ATI Catalyst 8.10

Каментаванне не дазволенае.