Akamai 警告 DDoS 反射攻擊現上升趨勢
利   用   棄   置   路   由   協   議

香港 — 領先全球的內容傳送網絡（Content Delivery Network；CDN）服務供應商 Akamai Technologies, Inc.（NASDAQ交易代號：AKAM）今天透過旗下的Prolexic安全工程及科研團隊（Prolexic Security Engineering & Research Team；PLXsert）發表新一份的網絡安全威脅報告。是次威脅是有關愈來愈多反射及擴大攻擊，是利用過期的路由選擇信息協議（Routing Information Protocol）第一版本（RIPv1）來發動。該報告內詳列威脅的資料，可於http://www.stateoftheinternet.com/ripv1-reflection-ddos 下載。
 
RIPv1是甚麼?
RIPv1是利用小型及多路由器的網路，靈活地分享路由資訊的快速方法。首次被配置或使用的RIP路由器會發出一個典型的請求。由此，任何聽從該請求的裝置，會以廣播的形式發送路由的表列及更新。

Akamai資訊安全資深副總裁兼總經理Stuart Scholly表示：「這個版本的RIP協議在1988年，超過25年前RFC1058旗下發表。RIPv1在消失迎一年後重現，令人費解。這顯示了攻擊者利用對DDoS攻擊反射向量的熟悉程度。對於攻擊者而言，利用RIPv1的行為以發動DDoS反射攻擊是十分容易。他們透過一個正常的廣播查詢，單一的請求會成為惡意查詢，並直接被傳送到反射器。攻擊者其後便可以操作IP位址來源，以配合預期的攻擊目標，導致網絡受損。
 
利用RIPv1發動DDoS反射攻擊
PLXsert報告指出，攻擊者傾向針對RIPv1資料庫中，有大量路線的路由器。根據報告，絕大部份能辨認的攻擊都有查詢，導致向目標在同一個請求中，發出504 byte回應有效負載。典型的RIPv1請求只有一個24 byte有效負載，顯示攻擊者雖然發出一個較小的請求，但希望藉大量未經同意的請求，淹沒目標。
 
PLXsert研究了一個在2015年5月16日對Akamai客戶的實際攻擊個案。對於攻擊的研究及非侵入式掃瞄指出，被利用成為RIP反射攻擊的裝置，均不是企業等級的路由硬件。PLXsert警告，RIPv1的惡意設計，會繼續利用上述的方式，發動反射及放大的攻擊。
 
緩解威脅
如欲避免利用RIPv1的DDoS反射攻擊，可考慮以下技術：
· 轉為RIPv2，或更新版本以啟動身份驗証
· 使用受控制訪問表 (ACL) 以限制來自互聯網源端口520的用戶數據報協議 (UDP)
Akamai將繼續監視利用RIPv1發動DDoS反射的攻擊。如欲了解更多這種攻擊及緩解威脅的技術，可於www.stateoftheinternet.com 免費下載攻擊的資料。
 

關於 Akamai
Akamai®是領先全球的內容傳送網絡（Content Delivery Network; CDN）服務供應商，譲客戶的互聯網速度快捷、可靠及安全。Akamai先進的網絡性能、流動表現、雲端保安及媒體傳送方案，不論在任何地方及任何裝置上均能提供最優質的消費者、企業及娛樂體驗方面，爲企業帶來革命性的改變。如欲了解Akamai的解決方案及其互聯網專家團隊如何協助企業走得更快更前，請瀏覽www.akamai.com或blogs.akamai.com，或「關注」@Akamai透過Twitter發放的訊息。