Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties
Submitter: CriticalHit_NL

Populaire torrentclients en BitTorrent Sync kunnen ingezet worden om een DRDoS-aanval te bewerkstelligen. Een aanvaller kan gebruik maken van verschillende protocollen in torrentclients en de Sync-applicatie om internetverkeer te vergroten en op een doelwit af te sturen.

Onderzoekers van de City University London stellen dat BitTorrents Micro Transport Protocol, Distributed Hash Table, Message Stream Encryption en BitTorrent Sync allemaal gebruikt kunnen worden om  verkeer via peers te versterken en te sturen. Zodoende kan een distributed reflective denial of service attack, of DRDoS, uitgevoerd worden. Een aanvaller kan met deze techniek zijn bandbreedte met een factor van 50 tot 120 vergroten. De exploit is vrij gemakkelijk omdat de protocollen niet goed bestand zijn tegen ip BitTorrent logospoofing. De onderzoekers zeggen dat er 'miljoenen potentiële amplifiers' online zijn.

De Torrentclients uTorrent, Mainline en Vuze zouden het meest kwetsbaar zijn. De onderzoekers hebben verschillende betrokken partijen al op de hoogte gesteld. Zo heeft BitTorrent in een bètaversie van zijn officiële client de kwetsbaarheid al weggewerkt, maar andere partijen als Vuze en uTorrent hebben hun client nog niet gepatcht, schrijft Torrentfreak.

Moderatie-faq Wijzig weergave

Reacties (35)

De Torrentclients uTorrent, Mainline en Vuze zouden het meest kwetsbaar zijn.
uTorrent komt er steeds minder en minder goed voor te staan.. Deze torrent-client heb ik altijd met veel plezier en gemak gebruikt. Minimalistisch en makkelijk in te stellen.

Totdat het nieuws kwam van de Cryptocoin-miner die standaard meegeleverd werd met een update (nu werd dit een maand later wel weer recht gezet, maar de schade was gedaan), toen was het voor mij gedaan. En nu dit.
Het zal ongetwijfeld een kwestie zijn van domme pech. Maar moeder-bedrijf Bittorrent heeft het dus al opgelost.

Overigens staat op het moment van schrijven een lijstje op Wikipedia van een aantal programma's die kwetsbaar zijn. Zie: DDoS - Reflected / spoofed attack

Edit:
[...] allemaal gebruikt kunnen worden om verkeer via peers te versterken en te sturen. Zodoende kan een distributed reflective denial of service attack, of DRDoS, uitgevoerd worden. Een aanvaller kan met deze techniek zijn bandbreedte met een factor van 50 tot 120 vergroten.
Wat hier dus bedoeld wordt (wat voor mij niet direct helemaal duidelijk was) is dat door deze methode te gebruiken, een aanvaller zijn bandbreedte met een factor 50 tot 120 kan vergroten.

Even simpel gezegd:
DDoS aanval: bij een DDoS aanval (waarbij vaak een botnet gebruikt wordt om de effectiviteit te vergroten) wordt er (vaak) daadwerkelijk data naar het doelwit gestuurd om er zo voor te zorgen dat het doelwit enorm veel data te verwerken krijgt, dit niet aan kan en crashed. De verstuurde 'data' is bij deze afkomstig van de aanvallers/het botnet.
DRDoS aanval: bij een DRDoS aanval doet de aanvaller zich voor als het doelwit bij een server. Dat wil zeggen: hij neemt de identiteit van het slachtoffer 'aan' (het IP-adres) waarna hij enorm veel requests doet bij de server. Doordat de server denkt te maken te hebben met het doelwit, wordt alle data van de requests naar het IP-adres gestuurd van het slachtoffer. De aanvaller verstuurd in feite niets.
In distributed reflective denial-of-service (DRDoS)
attacks, adversaries send requests to public servers (e.g., open
recursive DNS resolvers) and spoof the IP address of a victim.
These servers, in turn, flood the victim with valid responses
and – unknowingly – exhaust its bandwidth
. Recently, attackers
launched DRDoS attacks with hundreds of Gb/s bandwidth of this
kind.
Bron: Amplification Hell: Revisiting Network Protocols for DDoS Abuse

[Reactie gewijzigd door Vickiieee op 17 augustus 2015 09:55]

[...]

uTorrent komt er steeds minder en minder goed voor te staan.. Deze torrent-client heb ik altijd met veel plezier en gemak gebruikt. Minimalistisch en makkelijk in te stellen.

Totdat het nieuws kwam van de Cryptocoin-miner die standaard meegeleverd werd met een update (nu werd dit een maand later wel weer recht gezet, maar de schade was gedaan), toen was het voor mij gedaan. En nu dit.
Het zal ongetwijfeld een kwestie zijn van domme pech. Maar moeder-bedrijf Bittorrent heeft het dus al opgelost.
Waarom maak je als tweaker niet gewoon gebruik van een open-source BitTorrent client, zoals Transmission? Heeft ook een minimalistische GUI en is zelfs headless te draaien. De kans op meegeleverde malware is door het open-source karakter kleiner.

[Reactie gewijzigd door The Zep Man op 17 augustus 2015 10:14]

Omdat ik momenteel nog aan het kijken ben naar een goede vervanger ;).

Diverse clients al naast elkaar gezet en heb een leuk lijstje ondertussen. Er zijn zo veel alternatieven dat je soms door de bomen haast het bos niet meer ziet :9
Ik heb gelezen dat Deluge het meest "aggressief" nieuwe verbindingen opzet met peers, waardoor de downloadsnelheid vaak wat hoger uitvalt i.v.m. andere clients. Het is iig ook een heel fijne en simpele client, vind ik (ben ook van utorrent overgestapt).

[Reactie gewijzigd door Aham brahmasmi op 17 augustus 2015 13:00]

Ik heb gelezen dat Deluge het meest "aggressief" nieuwe verbindingen opzet met peers, waardoor de downloadsnelheid vaak wat hoger uitvalt i.v.m. andere clients.
Het feit dat Deluge zo aggressief downloadt is een tweezijdig zwaard.

Als die andere peers onderling connectie informatie over hun verbonden peers uitwisselen als onderdeel van congestion control, dan kan jouw aggresieve Deluge client zomaar op de banned peers list komen te staan omdat deze te snel (her)verbindingen opbouwt of te snel/vaak simultaan aan meerdere peers om dezelfde pieces vraagt.

[Reactie gewijzigd door R4gnax op 17 augustus 2015 19:57]

Goed punt, maar ik denk dat het in de praktijk wel mee zal vallen en dat het verschil ook niet zo groot zal zijn. Ik vind het in elk geval een prettige client om te gebruiken. :)
Kan Deluge ook een videotorrent streamen?
qBittorrent is ook een goed alternatief, werkt op Win, Mac en Linux, en is zeer lightweight zoals uTorrent
qBitorrent gebruik ik nu ook al een tijdje tesamen met RSS feeds, dit werkt nog beter dan met µTorrent. Of deze niet gevoelig is voor dit probleem, hmm...
Had qBittorrent geprobeerd maar gaf altijd een mapje met bestanden die ik niet wil (.unwanted) naast de bestanden die ik wel wil. Ik las ergens dat dit was voor het seeden maar ik vond het gewoon vervelend. (ondanks dat het niet veel in gebruik neemt)
Interessant, heb je dat lijstje toevallig ergens? Zijn er veel die video-torrents kunnen streamen terwijl de video nog aan het downloaden is? Dat kunnen oudere versies van Utorrent, wat de reden is dat ik die nog gebruik. Maar heb nooit heel goed alternatieven onderzocht.
Eigenlijk heb ik dat lijstje vooral in gedachten, haha :D De meeste voor de hand liggende clients kom je vrij snel tegen, maar sommige minder bekende juist niet. En daar was ik dan ook wel op zoek naar.

uTorrent gebruikte ik.

Alternatieven:
- Bittorrent (zelfde makers, maar schijnt dus een stuk beter te werken, dafuq?);
- Transmissions;
- Deluge;
- Flexget;
- Tixati;
- qBittorrent;
- Vuze.

Zie ook deze links eens:
https://www.bestvpn.com/b...-free-bittorrent-clients/ (helaas wel een klein jaartje oud, deels outdated dus);

Daarnaast kan je ook hier eens kijken: http://download.cnet.com/...ct&osNamesExact=Windows+8
Zelf wel fan van 'cnet' voor het downloaden van bepaalde programma's en gelukkig hebben ze ook een lijst van torrent clients.
Softonic doet in principe hetzelfde als Cnet, kan je ook eens kijken:
http://nl.softonic.com/windows/p2p:gratis
Hey, thanks! Dat is best een goede bespreking op bestvpn.com. Ik heb Qbittorrent eens geprobeerd; je kunt streamen, maar alleen vanaf het begin van het video-bestand. Met versie 3.2.3.28705 van Utorrent kun je ook midden in de video klikken in VLC Player: dan gaat hij vanaf het midden spelen (na de nodige buffering), ook al ben je pas net begonnen met het downloaden van het bestand. Misschien moet ik Vuze nog eens proberen, inderdaad nogal zwaar programma, maar misschien heeft het die functie (zou me verbazen).
Psst, check Tixati :)
Hele waardige vervanger, minimalistisch, geen ads en werkt bij mij al een jaar feilloos.
Ik gebruik ook Tixati, maar ik snap dat sommige mensen het niet wil gebruiken omdat het closed-source is.
Helaas wel gebanned op vrijwel elke private tracker. ;)

Zelf groot fan van de rutorrent+rtorrent combo op m'n server.
Dan kan je eigenlijk je tijd beter besteden om het stukje wat je nu handmatig of wellicht al via feeds doet, te automatiseren. Dan heb je namelijk genoeg aan een minimale torrentclient die niets anders doet dan torrents downloaden. Kijk bijvoorbeeld eens naar Flexget. De meest lichte oplossing en het automatiseert het gehele proces (incl file organizing en subtitles zoeken).
Gebruik zelf ok Transmission, veel simpeler krijg je het niet denk ik.. en werkt perfect!
Het klote aan DRDoS aanvallen is dat je als aanvaller geen pc's meer hoeft te hacken en een botnet op moet bouwen voor je iemand plat kunt ddossen.

Alles wat je nodig hebt is een huurservertje, bijv. een VPS-je van 10 euro per maand met een gbit verbinding, vervolgens start je een reflectieattack, je stuurt 500 mbit naar buiten x 50 en het slachtoffer krijgt even makkelijk 25 gbps of meer op zijn dak. Als je dan ziet dat de meeste providers zo rond de 10 gbps protectie bieden (voor vaak hoge bedragen) ben je dus gewoon volledig kansloos.

Die scripts om dit soort aanvallen uit te voeren zijn ook overal zo te downloaden. Ook voor DNS, NTP en SSDP reflectieaanvallen. Het enige 'voordeel' is dat systemen zo snel en zo massaal door al die scriptkiddies misbruikt worden dat er snel gepatched wordt. NTP was bijv. heel even hot, maar al snel uitgeput en ging men naar SSDP.

Ik draai trouwens al jaren gameservers en die worden vrijwel dagelijks gehit dus ik zie zo ongeveer wel wat er weer hot is qua aanvalmethode.
De potentie om het te doen is 1 ding, maar waar ik vooral benieuwd naar ben is of dit interessant is voor kwaadwillenden? Hoe effectief/handig/toegankelijk is dit vergeleken met de methodes die momenteel vooral populair zijn?

Iemand hier die dat kan inschatten (of beter nog, uitleggen)?
Het is interessant voor partijen die niet willen dat hun data met torrents wordt verspreid. Dus als ze clients lam kunnen leggen zullen ze dit waarschijnlijk snel gaan doen.
Het is interessant voor partijen die niet willen dat hun data met torrents wordt verspreid. Dus als ze clients lam kunnen leggen zullen ze dit waarschijnlijk snel gaan doen.
Even voor de goede orde, het doelwit van de aanval hoeft zelf geen gebruik te maken van deze clients, of zelfs maar van bittorrent. Elke machine (met een publiekelijk routeerbaar adres; ofwel "die aan het Internet hangt"), kan het doelwit zijn.

Even heel kort voorbeeld:
Aanvaller: 100.100.100.100
Doelwit: 200.200.200.200
Heleboel mensen met een kwetsbare torrent client (waaronder 150.150.150.150)

Aanvaller stuurt een (klein) pakketje:
100.100.100.100 -> 150.150.150.150
"hoi hoi, 200.200.200.200 hier, kun je mij chunk x van torrent y sturen?"
Nee, geen typefout, maar opzettelijk vervalst; dit is het hele idee van deze truc.

Kwetsbare client probeert behulpzaam te zijn en stuurt een (groot) pakket:
150.150.150.150 -> 200.200.200.200
"hier is het blok waar je om gevraagd had" (+ veel data)

Het uiteindelijke slachtoffer krijgt nu een stortvloed aan data. Het is niet mogelijk om simpelweg de verbinding af te kappen; voor dit soort aanvallen worden protocollen gebruikt die gebaseerd zijn op UDP (ipv TCP), waar geen flow-control inzit. Met andere woorden, de verzender verstuurd botweg alle data en de ontvanger / het bovenliggende protocol moet maar zorgen dat ie er mee om kan gaan als hier en daar een pakketje kwijtraakt.

Een paar dingen die dit soort aanvallen zo venijnig maken:
  • Je krijgt nooit data binnen van de oorspronkelijke aanvaller, alleen van "omstanders" die onbewust bijdragen aan de aanval. Je weet dus niet wie de dader is.
  • Omdat die omstanders over de hele wereld verspreid zitten kun je niet simpelweg een IP-adres (of een range) blokkeren.
  • Het idee van "amplification" is dat je met een kleine request een grote response (naar het slachtoffer) kunt veroorzaken; de echte aanvaller hoeft niet eens zo gek veel bandbreedte te hebben.
  • Bonuspunten als je dit via BitTorrent doet: hoewel er wel semi-officiële poorten zijn voor BitTorrent (6991 ofzo?) gebruikt niemand die (want: MPAA & RIAA); in het BitTorrent protocol vertelt elke client niet alleen het IP-adres waarop ie bereikbaar is, maar ook zijn poortnummer. Bij een reflective aanval kun je je slachtoffer dus eenvoudig op alle poorten aanvallen, waardoor ook het blokkeren van specifieke poortnummers geen enkele zin heeft.

[Reactie gewijzigd door robvanwijk op 17 augustus 2015 20:55]

Volgens mij is een torrent dan per direct al zijn seeders kwijt en komt ie overal op de blacklist om vervolgens als andere torrent opnieuw te verschijnen. Kat en muis-spel zoals het vanaf het begin was. Het is nu even wachten tot de clients een implementatie hebben gekregen om dergelijke aanvallen te lokaliseren mbv statistische informatie.
Als we andere artikelen mogen geloven over copyright, dat verdienen torrentsites miljoenen met het aanbieden van torrents. Het is dus ook voor sites onderling heel interessant om concurrenten uit te schakelen (of te bombarderen onder packets) waardoor de leden links dus geen torrents kunnen downloaden terwijl rechts er "ineens" open registratie is.

De grap is dus eigenlijk: hoe meer peers je hebt op je tracker, hoe meer data je dus kan wegsturen naar een ander doel. Maar doordat grote trackers vaak al openlijk toegankelijk zijn (dus zonder verplichte registratie of vragenlijst), hebben die weer geen baat erbij om private sites aan te vallen.
Als we andere artikelen mogen geloven over copyright, dat verdienen torrentsites miljoenen met het aanbieden van torrents.
Dat is niet onwaarschijnlijk. Waarom zou je anders behoorlijk wat investeren? En dat is ook meteen het ranzigste er aan. Gewoon content delen: prima. Maar miljoenen verdienen met andermans eigendom is natuurlijk nooit goed te praten. Wees dan eerlijk en faciliteer delen zonder er zelf beter van te worden. Dan ben je fair bezig.
[...]
Maar miljoenen verdienen met andermans eigendom is natuurlijk nooit goed te praten.
Heb jij harde bewijzen wat een torrentsite verdient per jaar aan donaties van gebruikers? Dan heb ik het hier over "giften" die moeten bijdragen aan de zogenaamde Donation-counter die bijna elke site heeft. Ik durf wel te stellen dat sites met ongeveer 50.000 unieke leden, minder dan $10.000/jaar binnenhalen aan donaties; hiervan gaat tussen de $4000 en $7000 op aan infrastructuur (servers, DDOS-beveliging, freelance programmeurs etc).

Zelfs een overbekend site als ThePirateBay zou volgens de aanklagers "maar" $3 miljoen per jaar binnenharken terwijl ze meer dan 100 miljoen pageviews hadden; oftewel er werd maar 3 cent per pageview gedoneerd/gegenereerd.

Daarentegen zegt men dat torrentsites wel heel erg veel verdienen met advertenties maar in dit artikel wordt wel erg scheutig met nummer gegoocheld en is het heel erg opvallend dat door ongericht adverteren (oftewel gewoon geld weggooien) een bedrijf als Amazon dus gewoon op "illegale sites" terug te vinden is.

Elke site met maar voldoende bezoekers, illegaal of legaal, kan dit soort hoge bedragen binnenharken. De vraag is dus wat voor dienst je aanbiedt en hoe je dat weet te marketen.
[...]
Heb jij harde bewijzen wat een torrentsite verdient per jaar aan donaties van gebruikers? Dan heb ik het hier over "giften" die moeten bijdragen aan de zogenaamde Donation-counter die bijna elke site heeft. Ik durf wel te stellen dat sites met ongeveer 50.000 unieke leden, minder dan $10.000/jaar binnenhalen aan donaties;
Dus je beperkt je eerst tot enkel donaties (waarom?) daarna ga je je enkel beperken tot het publieke cijfer (wat bijna nooit klopt). Waarom al die kunstmatige beperkingen invoeren?
Elke site met maar voldoende bezoekers, illegaal of legaal, kan dit soort hoge bedragen binnenharken. De vraag is dus wat voor dienst je aanbiedt en hoe je dat weet te marketen.
Het gaat juist om de bezoekersaantallen, die haal je legaal niet echt zeg maar...
als het te misbruiken valt. is er altijd wel iemand die het misbruiken zal.
of het nu een organisatie is of een scriptkiddy iemand zal het ooit proberen. zeker nu er belangstelling is door het in het nieuws te benoemen.
Dit is vrij interessant voor een aanvaller. Open DNS resolvers (zie http://openresolverproject.org/) zijn een ander voorbeeld van een amplification attack. Je stuurt een klein UDP packet naar zo'n Open DNS resolver en die stuurt een zo groot mogelijk antwoord terug. Natuurlijk spoof je het IP om iemand anders aan te vallen. Zo kan je in vergelijking je traffic vergroten met een factor van enkele honderden.
Is dit een probleem in de applicaties of in het protocol?

Als ik het goed begrijp hoeft er op de 'remote' machines alleen maar een torrent service te draaien en wordt daarmee verkeer gegenereerd naar de te dos-sen server. Er hoeft dus niet eerst een virus of zo iets heen geschoten te worden, gewoon gebruik maken van de aanwezige services.
Volgens mij veroorzaakt de aanvaller een soort kettingreactie door een lopende torrent met ongeldige traffic-informatie te bestoken. Alleen vraag ik me af of dat ook kan vanaf meerdere gefakete ip-adressen gericht op een enkel target-ip.
Jaren geleden heb ik als experiment een lua scriptje voor een dc++ kloon gemaakt die iets vergelijkbaars deed. Omdat het een open leesbaar protocol was kon je gewoon een complete niet-bestaande hub met belachelijk veel gebruikers in de lucht houden. Die fake-users waren ook in een hub van een ander te pompen compleet met eigen schijn-ip en gebruikersnaam uit een woordenboek. De meeste hubs waren thuislijnen dus die kon je zo plat krijgen. Geen idee of het nu nog kan, maar zal wel niet. :)
Ruim 10 jaar geleden hadden wij een variant hiervan bedacht, pak 1 van de populaire films, populaire torrent site, zet in de tracker een IP van iemand die je wil aanpakken (dyndns om eerst een valid tracker respons te hebben), IP adres omzetten en duizenden of nog meer PC's beginnen requests te sturen naar dat IP. Zo kon je vrij simple een prive-lijntje voor dagen platgooien.
Ik gebruik Transmission-Qt is die ook kwetsbaar??

[Reactie gewijzigd door Proesnie op 17 augustus 2015 10:03]

Er staat een link naar de originele bron.

3.2.3 Transmission and LibTorrent
We tested with Transmission 2.84 (built 14307) on Ubuntu 14.04.1. Transmission supports both LTEP and AMP. However, Transmission does not add any other BitTorrent message in the first uTP data packet than the handshake. It does not matter which extension is activated, Transmission only sends 88 bytes in a BitTorrent handshake and resends a lost packet three times. According to this, an attacker can only achieve a BAF of 4.0 if the amplifier uses the Transmission client. Libtorrent is a BitTorrent library written in C++ which is used by over 25 different BitTorrent clients. We have tested libtorrent 1.0.2 on Ubuntu 12.04. Like Transmission, libtorrent does not add any other BitTorrent message to the first uTP data packet, except the handshake. Where libtorrent is different, compared to Transmission is the number of retransmissions. Libtorrent resends a lost packet six times, which increases the BAF up to 5.2 times. If a peer wants to obfuscate its BitTorrent traffic, it starts with MSE handshake instead of a BitTorrent handshake.
Pff was zelf ook altijd een utorrent gebruiker en zeer tevreden tot de cryptocoin miner. nu gebruik ik tixati, echt fijn en zeer stabiel.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True