سوء‌استفاده از پیکربندی نامناسب TFTP برای حملاتDDoS

بررسی‌­ها نشان می‌­دهد بسیاری از نرم‌افزارهای TFTP به‌طور خودکار ترافیک خروجی در حدود ۶ برابر ترافیک ورودی تولید می‌­کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، (TFTP (Trivial File Transfer Protocol یک پروتکل ساده برای انتقال فایل­ در درون شبکه است که این امکان را در اختیار کلاینت قرار می­دهد تا فایل موردنظرش را به یک سیستم راه دور ارسال و یا از آن دریافت کند. 

این پروتکل قدیمی بوده و در سال ۱۹۸۱ میلادی در قالب یک استاندارد ارائه شد‌ه‌است. در سال‌های بعد نسخه‌های تکمیلی به استاندارد افزوده شده‌است. از عمده‌ترین کاربردهای این پروتکل می‌توان به انتقال خودکار فایل‌های مربوط به تنظیمات یک دستگاه و یا فایل‌های موردنیاز یک دستگاه برای بوت شدن در یک شبکه محلی اشاره‌کرد.

TFTP از پروتکل UDP و شماره پورت ۶۹ برای انتقال فایل استفاده‌می­کند. این پروتکل از TCP و شماره پورت ۸۰۹۹ نیز گاهی به‌منظور انتقال اطلاعات مربوط به رابط کاربری استفاده‌می­کند. هدف طراحی پروتکل TFTP کوچک‌بودن و سادگی پیاده­سازی آن بوده، بنابراین فاقد بسیاری از ویژگی­هایی است که توسط دیگر پروتکل‌های انتقال فایل قدرتمند ارائه می­شود. 

تنها کاری که TFTP انجام می­دهد، خواندن و یا نوشتن فایل­ها از روی سیستم راه دور است و نمی­تواند فایل­ها و یا دایرکتوری­ها را حذف، تغییر نام و یا لیست کند. همچنین فاقد قابلیت احراز اصالت کاربران است که بزرگ‌ترین نقطه‌ضعف امنیتی آن محسوب می­شود. TFTP بهترین مصداق امنیت از طریق گمنام است و اگر شخصی قصد سوء‌استفاده از این سرویس را داشته‌باشد باید نام فایل موردنظرش را حتماً بداند. اگرچه این مورد ساده به نظر می­رسد ولی با توجه به عدم امکان ارسال درخواست مبنی‌بر لیست‌کردن فایل­ها و یا دایرکتوری­ها در پروتکل TFTP، این گمنامی می­تواند زمان نتیجه‌گرفتن حمله را به تأخیر بیندازد. با توجه به امنیت بسیار پایین این پروتکل، توصیه شده‌است که این پروتکل حداکثر در شبکه‌های محلی به‌کار گرفته‌شود.

یکی دیگر از تهدیدهای پر اهمیت پروتکل TFTP، امکان سوء‌استفاده از آن برای انجام حملات DDOS است. عدم تعیین سایز پیش‌فرض برای برخی از فیلدهای پرسش‌وپاسخ پروتکل، Stateless بودن پروتکل و عدم‌استفاده از روش‌های احراز اصالت از مهم‌ترین دلایل پیدایش این حمله است. برای اجرای حمله، فرد حمله‌کننده ابتدا اقدام به یافتن سرورهای TFTP ای می‌کند که از طریق شبکه اینترنت قابل‌دسترسی هستند. پس از آن یک درخواست PRQ TFTP با حداقل سایز ممکن را ارسال کرده که پاسخ آن حداکثر بوده و به‌جای قرار دادن آدرس IP خود در فیلد آدرس IP فرستنده، آدرس IP فرد قربانی را قرار می‌دهد. درنتیجه پاسخ تولیدی برای فرد قربانی ارسال خواهد شد. 

به‌دلیل اینکه تعداد بایت موجود در پیامی که سرور در پاسخ باز می­گرداند نسبت به تعداد بایت موجود در پرسش ارسال شده از سوی کلاینت قابل‌توجه است، حمله­‌کننده می­تواند به ضریب تقویت بالایی دست پیدا کند. بدین‌صورت با به‌کارگیری یک شبکه بات‌نت می‌توان حجم بسیار زیادی ترافیک به سوی فرد قربانی هدایت کرد. درنتیجه یک سرویس‌دهنده TFTP که پیکربندی صحیحی ندارد می‌تواند به‌طور ناخواسته در حمله DDoS مورد سوء‌استفاده قرار گیرد.

اگر تمام شرایط مورد‌نظر به‌درستی وجود داشته‌باشد با استفاده از این حمله، ترافیک خروجی می­تواند به میزان ۶۰ برابر ترافیک اولیه نیز برسد. بررسی­ها نشان می­دهد بسیاری از نرم‌افزارهای TFTP به‌طور خودکار ترافیک خروجی در حدود ۶ برابر ترافیک ورودی تولید می­کنند.

برای امن­سازی تجهیزات در برابر سوء استفاده از این آسیب‌پذیری باید در‌صورت عدم نیاز به TFTP، این سرویس غیرفعال شود. در صورت نیاز به TFTP، تنها در شبکه محلی قابل‌دسترسی باشد. در‌صورت نیاز به دسترسی به این سرویس از طریق شبکه اینترنت باید ترافیک وارد‌شده از بیرون شبکه به این سرویس و همچنین ترافیک خروجی از آن از داخل شبکه به بیرون کنترل شوند. این کار با کنترل کردن ترافیک UDP/۶۹ توسط دیواره آتش قابل‌انجام است.