بررسیها نشان میدهد بسیاری از نرمافزارهای TFTP بهطور خودکار ترافیک خروجی در حدود ۶ برابر ترافیک ورودی تولید میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، (TFTP (Trivial File Transfer Protocol یک پروتکل ساده برای انتقال فایل در درون شبکه است که این امکان را در اختیار کلاینت قرار میدهد تا فایل موردنظرش را به یک سیستم راه دور ارسال و یا از آن دریافت کند.
این پروتکل قدیمی بوده و در سال ۱۹۸۱ میلادی در قالب یک استاندارد ارائه شدهاست. در سالهای بعد نسخههای تکمیلی به استاندارد افزوده شدهاست. از عمدهترین کاربردهای این پروتکل میتوان به انتقال خودکار فایلهای مربوط به تنظیمات یک دستگاه و یا فایلهای موردنیاز یک دستگاه برای بوت شدن در یک شبکه محلی اشارهکرد.
TFTP از پروتکل UDP و شماره پورت ۶۹ برای انتقال فایل استفادهمیکند. این پروتکل از TCP و شماره پورت ۸۰۹۹ نیز گاهی بهمنظور انتقال اطلاعات مربوط به رابط کاربری استفادهمیکند. هدف طراحی پروتکل TFTP کوچکبودن و سادگی پیادهسازی آن بوده، بنابراین فاقد بسیاری از ویژگیهایی است که توسط دیگر پروتکلهای انتقال فایل قدرتمند ارائه میشود.
تنها کاری که TFTP انجام میدهد، خواندن و یا نوشتن فایلها از روی سیستم راه دور است و نمیتواند فایلها و یا دایرکتوریها را حذف، تغییر نام و یا لیست کند. همچنین فاقد قابلیت احراز اصالت کاربران است که بزرگترین نقطهضعف امنیتی آن محسوب میشود. TFTP بهترین مصداق امنیت از طریق گمنام است و اگر شخصی قصد سوءاستفاده از این سرویس را داشتهباشد باید نام فایل موردنظرش را حتماً بداند. اگرچه این مورد ساده به نظر میرسد ولی با توجه به عدم امکان ارسال درخواست مبنیبر لیستکردن فایلها و یا دایرکتوریها در پروتکل TFTP، این گمنامی میتواند زمان نتیجهگرفتن حمله را به تأخیر بیندازد. با توجه به امنیت بسیار پایین این پروتکل، توصیه شدهاست که این پروتکل حداکثر در شبکههای محلی بهکار گرفتهشود.
یکی دیگر از تهدیدهای پر اهمیت پروتکل TFTP، امکان سوءاستفاده از آن برای انجام حملات DDOS است. عدم تعیین سایز پیشفرض برای برخی از فیلدهای پرسشوپاسخ پروتکل، Stateless بودن پروتکل و عدماستفاده از روشهای احراز اصالت از مهمترین دلایل پیدایش این حمله است. برای اجرای حمله، فرد حملهکننده ابتدا اقدام به یافتن سرورهای TFTP ای میکند که از طریق شبکه اینترنت قابلدسترسی هستند. پس از آن یک درخواست PRQ TFTP با حداقل سایز ممکن را ارسال کرده که پاسخ آن حداکثر بوده و بهجای قرار دادن آدرس IP خود در فیلد آدرس IP فرستنده، آدرس IP فرد قربانی را قرار میدهد. درنتیجه پاسخ تولیدی برای فرد قربانی ارسال خواهد شد.
بهدلیل اینکه تعداد بایت موجود در پیامی که سرور در پاسخ باز میگرداند نسبت به تعداد بایت موجود در پرسش ارسال شده از سوی کلاینت قابلتوجه است، حملهکننده میتواند به ضریب تقویت بالایی دست پیدا کند. بدینصورت با بهکارگیری یک شبکه باتنت میتوان حجم بسیار زیادی ترافیک به سوی فرد قربانی هدایت کرد. درنتیجه یک سرویسدهنده TFTP که پیکربندی صحیحی ندارد میتواند بهطور ناخواسته در حمله DDoS مورد سوءاستفاده قرار گیرد.
اگر تمام شرایط موردنظر بهدرستی وجود داشتهباشد با استفاده از این حمله، ترافیک خروجی میتواند به میزان ۶۰ برابر ترافیک اولیه نیز برسد. بررسیها نشان میدهد بسیاری از نرمافزارهای TFTP بهطور خودکار ترافیک خروجی در حدود ۶ برابر ترافیک ورودی تولید میکنند.
برای امنسازی تجهیزات در برابر سوء استفاده از این آسیبپذیری باید درصورت عدم نیاز به TFTP، این سرویس غیرفعال شود. در صورت نیاز به TFTP، تنها در شبکه محلی قابلدسترسی باشد. درصورت نیاز به دسترسی به این سرویس از طریق شبکه اینترنت باید ترافیک واردشده از بیرون شبکه به این سرویس و همچنین ترافیک خروجی از آن از داخل شبکه به بیرون کنترل شوند. این کار با کنترل کردن ترافیک UDP/۶۹ توسط دیواره آتش قابلانجام است.