DDoS-angreb kan udnytte Portmapper

Artiklen blev oprindeligt publiceret den 20/8/2015

Angribere kan udnytte RPC Portmapper-tjenesten til at udføre DDoS-angreb (Distributed Denial of Service) med forstærkning, såkaldte reflection-angreb. Foreløbig er der kun få angreb.

Et reflection-angreb foregår ved, at angriberen sender en forespørgsel til en tjeneste. I forespørgslen er afsenderadressen forfalsket, så den svarer til en adresse hos offeret for angrebet. Tjenesten sender et svar, der fylder mere end forespørgslen, til offeret. Hvis angriberen sender mange forespørgsler af sted, kan offerets computer blive overbelastet.

Hidtil har reflection-angreb især været kendt i forbindelse med protokoller som DNS (Domain Name System), NTP (Network Time Protocol) og SSDP (Simple Service Discovery Protocol). Men netværksfirmaet Level 3 Communications har for nylig set angreb, der udnytter RPC Portmapper.

RPC Portmapper bruges til RPC (Remote Procedure Call): En computer kan spørge tjenesten, hvilke RPC-funktioner den stiller til rådighed.

Ved reflection-angreb sender angriberen en forespørgsel med forfalsket afsenderadresse til UDP-port 111. Svaret sendes til offeret.

Level 3 har observeret, at svar kan være fra 7 til 28 gange større i omfang end forespørgslen. Derfor er RPC Portmapper en effektiv metode til reflection-angreb.

De første angreb dukkede op i juni, men var meget begrænsede i omfang. Den 10.-12. august så Level 3 større angreb. De var primært rettet mod firmaer inden for spil, hosting og internet-infrastruktur.

Anbefaling
RPC Portmapper-tjenesten må ikke kunne nås fra internettet. Skal den det, kan man via firewallen opsætte regler for, hvilke adresser der må kommunikere med den.

Links

• A New DDoS Reflection Attack: Portmapper; An Early Warning to the Industry, blogindlæg fra Level 3 Communications
• Reflection DDoS Attacks Abusing RPC Portmapper, artikel fra Kaspersky