بررسي‌ها نشان مي‌دهد بسياري از نرم‌افزارهاي TFTP بطور خودکار ترافيک خروجي در حدود ? برابر ترافيک ورودي توليد مي‌کنند.

وايمکس نيوز: پروتکل TFTP يا Trivial File Transfer Protocol پروتکلي ساده براي انتقال فايل درون شبکه است که اين امکان را در اختيار کلاينت قرار مي‌دهد تا فايل مورد نظرش را به يک سيستم راه دور ارسال يا از آن دريافت کند.

 اين پروتکل قديمي بوده و در سال 1981 ميلادي در قالب يک استاندارد ارائه و در سال‌هاي بعد نسخه‌هاي تکميلي به استاندارد افزوده شده است.

 از عمده‌ترين کاربردهاي اين پروتکل مي‌توان به انتقال خودکار فايل‌هاي مربوط به تنظيمات يک دستگاه يا فايل‌هاي مورد نياز يک دستگاه براي بوت شدن در يک شبکه محلي اشاره کرد.

 TFTP از پروتکل UDP و شماره پورت 69 براي انتقال فايل يا گاهي از TCP و شماره پورت 8099 به منظور انتقال اطلاعات مربوط به رابط کاربري استفاده مي‌کند.

 هدف از طراحي پروتکل TFTP کوچک بودن و سادگي پياده‌سازي آن بوده و بنابراين فاقد بسياري از ويژگي‌هايي است که توسط ديگر پروتکل‌هاي انتقال فايل قدرتمند ارائه مي‌گردد.

 تنها کاري که TFTP انجام مي‌دهد خواندن يا نوشتن فايل‌ها از يا روي سيستم راه دور است و نمي‌تواند فايل‌ها يا دايرکتوري‌ها را حذف، تغيير نام يا ليست کند؛ همچنين فاقد قابليت احراز اصالت کاربران است که بزرگترين نقطه ضعف امنيتي آن محسوب مي‌شود.

 پروتکل TFTP طبق گزارش مـاهر، بهترين مصداق امنيت از طريق گمنام است و اگر شخصي قصد سوء‌استفاده از اين سرويس را داشته باشد بايد نام فايل مورد نظرش را حتماً بداند.

 اگرچه اين مورد ساده به نظر مي‌رسد ولي با توجه به عدم امکان ارسال درخواست مبني بر ليست کردن فايل‌ها يا دايرکتوري‌ها در پروتکل TFTP، اين گمنامي مي‌تواند زمان نتيجه گرفتن حمله را به تأخير بياندازد. با توجه به امنيت بسيار پايين اين پروتکل، توصيه شده است که حداکثر در شبکه‌هاي محلي به کار گرفته شود.

 يکي ديگر از تهديدهاي پر اهميت پروتکل TFTP امکان سوء‌استفاده از آن براي انجام حملات DDOS است.

 عدم تعيين سايز پيش فرض براي برخي از فيلدهاي پرسش و پاسخ پروتکل، Stateless بودن پروتکل و عدم استفاده از روش‌هاي احراز اصالت از مهمترين دلايل پيدايش اين حمله است.

 براي اجراي حمله، فرد حمله‌کننده ابتدا اقدام به يافتن سرورهاي TFTP مي‌نمايد که از طريق شبکه اينترنت قابل دسترسي هستند. پس از آن يک درخواست PRQ TFTP با حداقل سايز ممکن را ارسال نموده که پاسخ آن حداکثر بوده و به جاي قرار دادن آدرس IP خود در فيلد آدرس IP فرستنده، آدرس IP فرد قرباني را قرار مي‌دهد.

 درنتيجه پاسخ توليدي براي فرد قرباني ارسال خواهد شد.

 به دليل اينکه تعداد بايت موجود در پيامي که سرور در پاسخ باز مي‌گرداند نسبت به تعداد بايت موجود در پرسش ارسال شده از سوي کلاينت قابل توجه است، حمله کننده مي‌تواند به ضريب تقويت بالايي دست پيدا کند.

 به اين صورت با بکارگيري يک شبکه بات‌نت مي‌توان حجم بسيار زيادي ترافيک به سوي فرد قرباني هدايت نمود. در نتيجه يک سرويس‌دهنده TFTP که پيکربندي صحيحي ندارد مي‌تواند بطور ناخواسته در حمله DDoS مورد سوء‌استفاده قرار گيرد.

 اگر تمام شرايط مورد نظر به درستي وجود داشته باشد، با استفاده از اين حمله، ترافيک خروجي مي‌تواند به ميزان 60 برابر ترافيک اوليه نيز برسد.

 بررسي‌ها نشان مي‌دهد بسياري از نرم‌افزارهاي TFTP بطور خودکار ترافيک خروجي در حدود 6 برابر ترافيک ورودي توليد مي‌کنند.

 براي امن‌سازي تجهيزات در برابر سوء‌استفاده از اين آسيب‌پذيري، موارد زير بايد اعمال شوند:

 بايستي در صورت عدم نياز به TFTP، اين سرويس غيرفعال گردد.

 بايستي در صورت نياز به TFTP، تنها در شبکه محلي قابل دسترسي باشد. در صورت نياز به دسترسي به اين سرويس از طريق شبکه اينترنت، بايستي ترافيک وارد شده از بيرون شبکه به اين سرويس و همچنين ترافيک خروجي از آن از داخل شبکه به بيرون کنترل شود.

 اين کار با کنترل کردن ترافيک UDP/69 توسط ديواره آتش قابل انجام است.

منبع: تسنيم