CoAP протокол — будущее DDOS атак. Как он устроен?

Constrained Application Protocol (CoAP) предназначен главным образом для устройств Интернета вещей, все сильнее приобретает известность как новый компонент кибератак. По словам исследователей безопасности, CoAP теперь используется киберпреступниками для выполнения крупномасштабных DDoS-атак.

CoAP, официально известный как RFC 7252, может быть менее известен разработчикам, поскольку он был одобрен только в 2014 году и до недавнего времени широко не использовался.

Что представляет из себя CoAP?

 

CoAP попадает в категорию протоколов «машина-машина» (M2M), которые предназначены для использования на устройствах с низкой вычислительной мощностью и памятью. Будучи протоколом прикладного уровня, CoAP похож на HTTP, с одним существенным отличием-он работает поверх UDP, который является более легким форматом данных по сравнению с TCP, который, в свою очередь, используется в случае HTTP.

Тем не менее, использование протокола на основе UDP сопряжено со своим собственным набором уязвимостей, таких как спуфинг IP-адреса и усиления пакетов, оба из которых являются весьма эффективными для запуска крупномасштабных DDoS-атак.

Когда злоумышленник отправляет небольшой пакет на целевое устройство и получает в ответ гораздо больший пакет, это увеличивает объем пакетов DDoS атаки. При таргетинге на устройства Интернета вещей по протоколу CoAP коэффициент усиления может варьироваться от 10 до 50 в зависимости от нескольких факторов. Таким образом, CoAP протокол становится одним из мощнейших инструментов для атак DDoS.

Кроме того, злоумышленники могут легко уничтожить цель с помощью IP-спуфинга, заменив “IP-адрес отправителя » на IP-адрес своей цели, что, в свою очередь, приводит к бомбардировке большими пакетами данных.

Хотя разработчики протокола ввели меры безопасности для предотвращения этих проблем, это привело к «утяжелению» самого протокола, что  значительно ослабило основное преимущество CoAP — быть легким протоколом. Из-за этого большинство внедрений CoAP работают в режиме безопасности “NoSec”, что делает их очень уязвимыми для DDoS-атак.

О силе DDOS посредством CoAP

 

Атаки с применением CoAP в последние месяцы фиксируются со средней интенсивностью до 55 Гбит / с и на пике достигают-320 Гбит / с. Более половины из 580 000 устройств CoAP в настоящее время подвержены проникновению со стороны злоумышленников, с коэффициентом усиления пакета данных до 46 раз.

Большинство зарегистрированных атак были направлены на различные китайские онлайн-сервисы и некоторые платформы MMORPG.

Средние значения интенсивности уже более чем в 10 раз выше, чем в среднем 4,6 Гбит / с  — для обычной DDoS-атаки
В прогнозах на 2019 год ожидается что рост CoAP (IoT) устройств распространится на другие страны за пределами Китая, так как продажи таких устройств, изготовленных в Китае растут по всему миру.