Специалисты компании Akamai заметили, что злоумышленники злоупотребляют малоизвестным сетевым протоколом DCCP (Datagram Congestion Control Protocol) для DDoS-атак. Данный интернет-стандарт был утвержден в 2007 году и помогает отслеживать перегрузки в сети для коммуникаций на основе UDP. DCCP особенно эффективен для приложений, где пришедшие невовремя данные становятся бесполезными. Например, в сфере потокового вещания, онлайн-игр и интернет-телефонии.
Хоть протокол включает в себя множество функций, Akamai сообщает, что хакеры злоупотребляют трехсторонним рукопожатием, которое происходит в начале соединения DCCP+UDP. Таким образом злоумышленники могут отправить поток пакетов DCCP-Request на 33 порт сервера (где работает протокол DCCP), тем самым заставив сервер тратить важные ресурсы на инициирование многосторонних трехсторонних рукопожатий, которые так и не будут завершены, а в конечном итоге выведут сервер из строя (в силу нехватки доступных ресурсов).
Такая атака похожа на классический TCP SYN-флуд, хорошо известный тип DDoS-атак, который более десяти лет используется аналогичным образом.
«По сути, эти пакеты представляют собой SYN-флуд в версии для протокола DCCP», — объясняет Чад Симан (Chad Seaman), руководитель группы Akamai SIRT.
Специалист подчеркивает, что даже если трехстороннее рукопожатие DCCP завершено, а сервер «пережил» флуд пакетами, злоумышленники все равно могут злоупотребить спуфингом пакетов UDP и попросту использовать открытые порты DCCP-сервера для отражения и усиления атак на сторонние сервисы.
К счастью, несмотря на то, что протокол существует уже почти 14 лет, очень немногие разработчики ОС и приложений позаботились о его поддержке. Так, некоторые дистрибутивы Linux поставляются с поддержкой DCCP, но далеко не все дистрибутивы Linux поставляются с включенными сокетами DCCP «из коробки». Windows-системы, похоже, вообще не поддерживают данный протокол, что объясняет нежелание некоторых производителей приложений добавлять его в свое ПО.
«Пытаясь определить варианты использования в реальном мире, мы не смогли найти ни одного приложения, которое действительно использует этот протокол», — говорит Симан.
То есть в Akamai считают, что пока большого вреда от подобных атак можно не ждать. Однако ситуация может измениться, если протокол станет более популярен будущем, ведь потоковая передача в реальном времени становится все более распространенной. В итоге Симан рекомендует на всякий случай блокировать весь трафик порта 33, особенно в инфраструктуре, где DCCP не используется, но поддерживается.
