DDoS 反射攻擊量暴升！小心黑客以棄置路由協議 RIPv1 發功

黑客近期除了透過虛擬機器的 Floppy 作攻擊之外，近期又發生了一些令人感到意外的攻擊，那就是採用棄置路由協議 RIPv1 發功。根據 Akamai 指出，她們近期發現了愈來愈多反射及擴大攻擊，而近日更得悉攻擊是是利用過期的路由選擇信息協議（Routing Information Protocol）第一版本（RIPv1）來發動，的確令人感到意外！

RIPv1 是甚麼？

RIPv1 是利用小型及多路由器的網路，靈活地分享路由資訊的快速方法。首次被配置或使用的 RIP 路由器會發出一個典型的請求。由此，任何聽從該請求的裝置，會以廣播的形式發送路由的表列及更新。

這個版本的 RIP 協議在 1988 年，超過 25 年前 RFC1058 旗下發表。RIPv1 在消失一年後重現，令人費解。這顯示了攻擊者利用對 DDoS 攻擊反射向量的熟悉程度。對於攻擊者而言，利用 RIPv1 的行為以發動 DDoS 反射攻擊是十分容易的。他們透過一個正常的廣播查詢，單一的請求會成為惡意查詢，並直接被傳送到反射器。攻擊者其後便可以操作 IP 位址來源，以配合預期的攻擊目標，導致網絡受損。

利用 RIPv1 發動 DDoS 反射攻擊

根據一份由 PLXsert 公佈的報告指出，攻擊者傾向針對 RIPv1 資料庫中，有大量路線的路由器。根據報告，絕大部份能辨認的攻擊都有查詢，導致向目標在同一個請求中，發出 504 byte 回應有效負載。典型的 RIPv1 請求只有一個 24 byte 有效負載，顯示攻擊者雖然發出一個較小的請求，但希望藉大量未經同意的請求，淹沒目標。

安全專家警告，採用 RIPv1 的惡意設計，會繼續利用上述的方式，發動反射及放大的攻擊。

緩解威脅

如欲避免利用 RIPv1 的 DDoS 反射攻擊，可考慮以下技術：

– 轉為 RIPv2，或更新版本以啟動身份驗証。
– 使用受控制訪問表 (ACL) 以限制來自互聯網源端口 520 的用戶數據報協議 (UDP)