বিট-টরেন্ট প্যাচ ত্রুটি যা বিতর্কিত পরিত্যাগের পরিষেবা আক্রমণকে বর্ধিত করতে পারে

বিটট্ররেন্ট একটি দুর্বলতা নির্ধারণ করেছে যা আক্রমণকারীরা শত শত লক্ষ ব্যবহারকারী দ্বারা ব্যবহৃত বিট-টরেন্ট অ্যাপ্লিকেশনগুলিকে হাইজ্যাক করার অনুমতি দেবে বিতরণ অস্বীকার পরিষেবা অফার (DDoS) আক্রমণ।

দুর্বলতা LibuTP- এ অবস্থিত ছিল, মাইক্রো ট্রান্সপোর্ট প্রোটোকল (uTP) এর একটি রেফারেন্স বাস্তবায়ন যা uTorrent, Vuze, ট্রান্সমিশন এবং বিট টরেন্ট মেইনলাইন সহ অনেক জনপ্রিয় বিটট্ররেন্ট ক্লায়েন্টদের দ্বারা ব্যবহৃত হয়। ক্লায়েন্ট।

সিটি ইউনিভার্সিটি লন্ডো থেকে চার গবেষকগণ দ্বারা 9 টি ইউএনএনিয়াক্স ওয়ার্কশপ অন অফেন্সিং টেকনোলজিস এ উপস্থাপিত একটি কাগজে এই মাসটি আগে প্রকাশ করা হয়েছিল। এন, ফ্রেডবার্গ, জার্মানি এবং অ্যাপলড সায়েন্সেসের ফ্রেইডবার্গ বিশ্ববিদ্যালয়ের প্লামগ্রিডের এমিত্লেলেসসেন ইউনিভার্সিটি।

[আরও পাঠ: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার মুছে ফেলার পদ্ধতি]

DDoS এক্সপ্লিফিকেশন হল আক্রমণকারীদের মধ্যে একটি জনপ্রিয় জনপ্রিয় কৌশল এবং খুব বড় ট্র্যাফিক ভলিউম এটি আক্রমণকারীদের দ্বারা নির্বাচিত একটি লক্ষ্য আইপি (ইন্টারনেট প্রটোকল) ঠিকানা থেকে উদ্ভূত প্রদর্শিত একটি বৃহৎ সংখ্যক সার্ভারে দুর্বৃত্ত অনুরোধ পাঠানো জড়িত থাকে। এই পন্থাগুলি সার্ভারগুলিকে মূল পাঠকের পরিবর্তে প্রতারণাপূর্ণ আইপি ঠিকানাতে তাদের প্রতিক্রিয়া পাঠানোর জন্য, ডেটা প্যাকগুলি সহ শিকারকে বন্যায় পাঠাচ্ছে।

এই কৌশলটি মূল ট্রাফিকের উৎস লুকানোর প্রভাব রয়েছে, যা প্রতিফলন হিসাবে পরিচিত, কিন্তু যদি জাভাস্ক্রিপ্ট প্রতিক্রিয়াগুলি তাদের দ্বারা পরিচালিত অনুরোধের তুলনায় আকারে বড় হয় তবে তা উল্লেখযোগ্যভাবে বৃদ্ধি করতে পারে।

এই ধরনের আক্রমণ সাধারণত প্রোটোকলগুলি প্রভাবিত করে যা ডেটা সংক্রমণের জন্য ইউজার ডাটাগ্রাম প্রোটোকল (UDP) উপর নির্ভর করে, কারণ ইউডিপি উৎস সঞ্চালন করে না ঠিকানা যাচাইকরণ। তাদের গবেষণায় দেখানো হয়েছে যে, ইউটিপি এক ধরনের প্রোটোকল।

তারা দেখিয়েছে যে একজন আক্রমণকারী বিট টরেন্ট ক্লায়েন্টকে একটি প্রতারণাপূর্ণ ঠিকানা দিয়ে একটি সংযোগের অনুরোধ পাঠাতে পারে যা তাকে শিকারে স্বীকারোক্তি (ACK) প্যাকেট পাঠাতে বাধ্য করে। বিট টরেন্ট হ্যান্ডশেক শুরু করার জন্য আক্রমণকারী তখন একই স্পুফড অ্যাড্রেস এবং র্যান্ডম এসিএকে নম্বর দিয়ে দ্বিতীয় অনুরোধ পাঠাতে পারেন।

বিটটাইরেন্ট ক্লায়েন্ট এই দ্বিতীয় অনুরোধটিও স্বীকার করবে এবং শিকারের একটি হ্যান্ডশেক প্রতিক্রিয়া প্রেরণ করবে। যাইহোক, যেহেতু শিকারটি প্যাকেটটি প্রত্যাশা করবে না, এটি বিটিটরেণ্ট ক্লায়েন্টকে 4 বার পর্যন্ত তথ্য পাঠাতে বাধ্য করবে, আক্রমণকারীরা যে ট্র্যাফিক তৈরি করতে পারে তা বর্ধিত করবে।

এই সমস্যাটি সমাধানের জন্য, বিটট্ররেন্ট, যে লিউটিপিটি রক্ষণাবেক্ষণ করে, লাইব্রেরিতে সংশোধন করে যাতে দ্বিতীয়টি অনুরোধের সাথে থাকা ACK নম্বর সঠিকভাবে যাচাই করে। প্রথম প্যাক্টে শিকারে পাঠানো ব্যক্তির সাথে যদি এটি মেলে না, তবে এটি সংযোগটি ছেড়ে দেবে।

পরিবর্তন DDoS প্রতিফলনকে রোধ করে না কিন্তু এম্প্লিফিকেশন প্রভাবকে মারছে।

এটি একটি আক্রমণকারীর জন্য মোটামুটি কঠিন হবে একটি বিট টরেন্ট প্রকৌশলী বৃহস্পতিবার একটি ব্লগ পোস্টে বিস্তারিতভাবে ব্যাখ্যা করে যে, সুবিন্যস্ত সংখ্যার একটি বৃহৎ সংখ্যক প্রতিফলকের জন্য স্বীকারোক্তি সংখ্যাটি অনুমান করে।

uTorrent, বিটট্ররেন্ট মূল লাইন এবং বিটটরেণ্ট সিঙ্কের সর্বশেষ সংস্করণ, যা কোম্পানির দ্বারা বিকশিত হয় , আগস্ট থেকে ফিক্স অন্তর্ভুক্ত। 4।

পরিবর্তনগুলি সেই অ্যাপ্লিকেশনগুলির পুরোনো সংস্করণগুলির সাথে বা তৃতীয় পক্ষের বিটটোরেন্ট ক্লায়েন্টদের সাথে ব্যাকআপ সামঞ্জস্যকে প্রভাবিত করে না যা লিমিটেড ব্যবহার করে, একটি বিটটোরেন্ট ইঞ্জিনিয়ার ইমেলের মাধ্যমে বলেন "তথাপি, আমরা অন্যান্য ডেভেলপারদেরকে তাদের প্রয়োগগুলি সঠিকভাবে স্বীকারোক্তি সংখ্যা ক্রমবর্ধমান প্রবিধানকরণ নিশ্চিত করার জন্য উত্সাহিত করি।"

লিখিত শংসাপত্রের উপর নির্ভর করে এমন অন্য প্রোটোকলগুলি, বার্তা প্রবাহ এনক্রিপশন (এমএসই) মতই সুরক্ষিত।