在接受SCMagazineUK采访时,OPSWAT软件工程经理煞费苦心地指出,我们不应该认为分布式机制的本质是坏的或在安全性方面就一定比非分布式机制差。他说,”我讨厌制造’反P2P’的恐慌情绪。虽然分布式架构可能会存在特定的安全问题,但非分布式架构也同样如此。”Arbor Networks技术专家也表示,BitTorrent只是这类攻击可利用的协议之一,DNS、NTP、SSDP、CHARGEN、SNMP以及Portmap都可用于发动此类攻击。但利用BitTorrent的优势在于,放大的反射型攻击流量的源端口是动态的。
有人建议,BitTorrent可考虑改用三次握手协议如TCP,代替当前使用的二次握手协议。这可能会导致性能降低,但三次握手协议可检测到伪造的源IP地址,因为这些地址无法回复第一条握手消息。他说,”这会降低攻击过程中的流量放大倍数。”众所周知,这正是BitTorrent目前在漏洞防护过程中通过增强协议要实现的目标。
BT放大式攻击防护
如同上面所说,攻击者基于BT的放射式放大攻击不同于传统的反射攻击,因为它的端口是不固定的,所以封端口的策略不可行,只能靠识别应用层的特征来过滤攻击。防护方式建议从两个方面进行:
对于bittorrent客户端,可以考虑改用原来的tcp方式,杜绝虚假源导致的放大攻击。
防护设备对utp报文的payload做识别,utp前两个字节是有特征的,第1个字节代表版本号和类型,对于放大的报文,该字段为0x01;第2个字节 代表utp的扩展字段,有3种取值:0x00、0x01、0x02,一般情况下该字段为0x00. 可以根据这些特征做限速等策略。
附录:文中术语
Torrent文件:保存了相应的种子信息、tracker服务器信息等;
Web服务器:用来存放 .torrent文件,共用户去下载的。
Peer:代表每个bt客户端(实际上每个peer既是服务器又是客户端)。
Tracker服务器:记录每个peer的信息(IP、端口、已经下载的对应的段等信息),用于帮助每个peer发现彼此;
Piece: 一个文件通常会被分割成很多片段,这样下载的时候可以同时向多个服务端请求数据,加快下载速度。
(责任编辑:admin)