Négy kutató - a londoni Városi Egyetem, a friedbergi Mittelhessen Egyetem, valamint a felhőalapú hálózati megoldásokkal foglalkozó PLUMgrid szakembereinek csapata - elemezte a népszerű BitTorrent kliensek által használt protokollokat, és arra a megállapításra jutott, hogy kihasználhatók az elosztott szolgáltatásmegtagadás (distributed denial of service, DdoS) típusú támadások reflexiójához és felerősítéséhez.
Az USENIX szövetség rendezésében múlt héten megtartott, offenzív technológiákkal foglalkozó 9. műhelyfoglalkozáson (WOOT '15) a kutatók bemutatták, hogy az olyan népszerű programokkal, mint a uTorrent, a Vuze vagy a BitTorrent Mainline kliensek, a támadók akár 50-szeresére is felerősíthetik a DDoS-adatforgalmat. A peer-to-peer fájlszinkronizáláshoz készült BitTorrent Sync (BTSync) protokollt kihasználva a rosszindulatú adatforgalom ennél is jóval nagyobb mértékben, akár a 120-szorosára is felerősíthető.
Ehhez a támadóknak a DDoS reflexió technológiáját kell bevetniük, amellyel a támadás forrása elrejthető. A technológia lényege, hogy a támadó kérést küld a megcélzott IP címnek, majd amikor az azonosítani akarja, a kérést egy másik IP címnek is elküldi, és annak válaszát a sajátjaként továbbítja áldozatának.
A DDoS reflexió jellemzően olyan szolgáltatások ellen használható jól, amelyek az UDP (User Datagram Protocol) protokollon keresztül kommunikálnak, mert az a TCP (Transmission Control Protocol) protokollal ellentétben nem alkalmaz kézfogást, azaz nem ellenőrzi a kérést küldő IP címet. A támadó így meghamisíthatja az UDP csomag fejlécét, amely valaki más IP címét fogja megadni forrásként, és így a megtévesztett szolgáltatás oda fogja küldeni válaszát
Még a kevésbé elterjedt BitTorrent kliensek közé tartozó Transmission és LibTorrent is sérülékeny ebből a szempontból, bár a kutatók szerint a támadók velük csupán 4-5-szörös DDoS-erősítést érnének el. A támadóknak mindenesetre sokkal könnyebb a dolguk a BitTorrent protokollokkal, mint például a DNS vagy az NTP protokollokkal. Az interneten ugyanis viszonylag kevés, sérülékeny DNS vagy NTP szerver található, miközben a kihasználható BitTorrent kliensek sok tíz vagy száz millió számítógépen futnak.
Különbség az is, hogy a DNS és NTP protokolloktól eltérő módon a BitTorrent nem fix portszámokat, hanem dinamikus portsorozatokat használ, ezért az ilyen támadások észlelése és blokkolása speciális, az adatcsomagok mélyreható vizsgálatára képes tűzfalakat követel. A támadók mindennek tetejébe a BitTorrent protokoll adatforgalom-titkosító bővítményét, az MSE-t (Message Stream Encryption) is kihasználhatják, amelyet a legtöbb kliensprogram támogat, így a támadást még nehezebb lenne kiszűrni.
Néhány ellenintézkedés azért tehető a DDoS reflexió megakadályozására a négy kutató szerint. Az internetszolgáltatók az ajánlott biztonsági gyakorlatot követve, például a hálózati bemenetek szűrésével csökkenthetik az IP svindlizés esélyét. Hasznos lenne, ha a legtöbb BitTorrent kliens által használt Micro Transport Protocol (uTP) is a TCP-hez hasonló, hármas kézfogással ellenőrizné a kérést küldő IP címeket, bár ennek bevezetése időigényes lenne, és inkompatibilitási problémákat is okozna.
Végül a BitTorrent programok is egyre korlátozhatnák az első uTP csomagban küldött üzenetek számát, amit néhány kliens már így is tesz. Ezzel ugyan nem akadályozható meg a támadás, tették hozzá a kutatók, de a rosszindulatú adatforgalom így jóval kisebb mértékben, mindössze 4-5-szörösére lenne erősíthető.