По данным компании Netcraft, пиринговые и файлообменные сети все чаще используются злоумышленниками для организации атак типа “отказ в обслуживании” на различные веб-сайты.
Напомним, что пиринговые (от англ. peer-to-peer, P2P — равный с равным) сети — это компьютерные сети, основанные на равноправии участников. В таких сетях отсутствуют выделенные серверы, а каждый узел (peer) является как клиентом, так и сервером. В отличие от архитектуры клиент-сервер, такая организация позволяет сохранять работоспособность сети при любом количестве и любом сочетании доступных узлов. Одна из областей применения технологии пиринговых сетей — это обмен файлами. Выглядит это так: пользователи сети выкладывают какие-либо файлы в «расшаренную» папку, т. е. папку, файлы из которой доступны для скачивания другим клиентам. Какой-нибудь другой пользователь сети посылает запрос на поиск какого-либо файла. Программа ищет у клиентов сети файлы, соответствующие запросу, и показывает «добычу». После этого пользователь может скачать файлы у найденных источников. Современные файлообменные сети позволяют скачивать один файл сразу с нескольких источников. Чтобы убедиться, что этот файл у всех источников одинаковый, производится сравнение не только по названию файла, но и по контрольным суммам или хэшам типа MD4, TTH, SHA-1. Во время скачивания файла нашим пользователем (и после его окончания) этот файл у него могут скачивать и другие клиенты сети, в результате чего особенно популярные файлы могут в итоге быть доступными для скачивания с сотен источников одновременно.
Эксперты говорят, что в пиринговых сетях могут одновременно находится до 100 000 пользователей, компьютеры которых могут использоваться для генерации “мусорного” трафика на тот или иной сервер и блокировки сайтов. Данный способ привлекателен для злоумышленников тем, что им не нужно для атаки иметь сеть из зараженных ПК, готовых по команде хакера посылать запросы на сайты.
Эксперты компании Prolexic указывают на то, что многие из последних DDOS-атак использовали открытый пиринговый клиент DC++, использующий протокол Direct Connect. Разработчики продукта признают, что их детище стало инструментом хакеров и обещают в ближайшее закрыть лазейки.
В прошлом году исследователи из Бруклинского политехнического института обнародовали техническую возможность организации атаки при помощи клиента OverNet и одноименного протокола. Данный клиент стал фактически стандартом де-факто в популярной файлообменной сети eDonkey.
