25/03/21
Как сообщают специалисты компании Akamai, киберпреступники стали использовать в качестве вектора DDoS-атак на серверы малоизвестный интернет-протокол.
Речь идет о стандарте Datagram Congestion Control Protocol (DCCP), одобренном в 2007 году. Протокол был разработан как улучшение более широко используемого UDP и получил механизмы перегрузки данных, позволяющий приложениям проверять правильность приема пакетов при чувствительной ко времени передаче данных, например в приложениях реального времени, играх и стриминговых сервисах.
Хотя у протокола есть целый ряд функций, киберпреступники используют трехстороннее рукопожатие, происходящее в начале DCCP-соединения. Как пояснили специалисты Akamai, злоумышленники могут отправлять атакуемому серверу большое количество DCCP-запросов, тем самым вынуждая его расходовать важные ресурсы на бесконечное трехстороннее рукопожатие, которое так никогда и не завершается и в итоге выводит сервер из строя из-за нехватки ресурсов.
Атака похожа на метод осуществления DDoS-атаки, известный как TCP SYN-флуд. Этот метод используется киберпреступниками уже более десяти лет и заключается в использовании TCP SYN-пакетов в начале каждого TCP-соединения.
Даже если трехстороннее рукопожатие в начале DCCP-соединения завершается, и серверу удается устоять и не выйти из строя, злоумышленники могут использовать открытые порты DCCP-сервера для отражения и усиления атак на сторонние сервисы.
Однако, как отмечает специалист Akamai Чед Симен (Chad Seaman), ожидать повсеместных атак данного типа не приходится. Главная причина - в настоящее время в интернете недостаточно хостов, использующих протокол DCCP.
Даже если некоторые дистрибутивы Linux поставляются с поддержкой DCCP, не все из них поставляются с включенными по умолчанию сокетами DCCP. Windows и вовсе не поддерживает данный протокол, что объясняет нежелание некоторых производителей приложений добавлять его в свое программное обеспечение.
