На 27-м конгрессе CCC (Chaos Communication Congress) обсуждалась тема DDoS-атак через DHT. Использовать BitTorrent для DDoS умели и раньше: нужно было прописать IP-адрес жертвы в качестве трекера — и он получал множество запросов. Но проблема в том, что для подобного способа нужен популярный торрент. Новая методика экплойта DHT даёт возможность использовать уже существующую сеть пиров. Если вкратце, то алгоритм такой: надо стать популярным пиром в сети, чтобы получать много запросов find_node от соседних пиров. Каждый день миллионы людей скачивают торренты, а в некоторых случаях один и тот же файл качают более 100 000 пользователей одновременно. Такие скопления юзеров вполне естественно привлекают внимания злоумышленников, которые ищут способ применить толпу с пользой. Протокол DHT позволяет обнаруживать новые пиры, скачивающие тот же файл, без обращения к трекеру. Это позволяет продолжать закачку даже в случае падения трекера и удаления изначального торрента. В своей презентации на CCC хакер под ником Astro рассказывает, как работает протокол Kademlia для DHT и почему в нём возможен обман соседних пиров с помощью фальшивых узлов (NodeID). В комментарии для TorrentFreak он объяснил, что «хэширование адресов и схема верификации хороша для старого интернета, но становится практически бесполезной в большом адресном пространстве IPv6». В результате, в сеть пиров можно подсунуть фальшивые «узлы», а пользователи будут участвовать в DDoS-атаке, сами того не замечая. Конечно, практическое использование этого метода можно легко предотвратить. Например, запретить коннектиться к портам ниже 1024-го, где находится большинство критических сервисов.
Источник