TFTP راه را برای حملات DDOS هموار می‌کند

اگر شخصی قصد سوء استفاده از این سرویس را داشته باشد، باید نام فایل مورد نظرش را دقیقا بداند. اگرچه این مورد ساده به‌نظر می‌رسد ولی با توجه به عدم امکان ارسال درخواست مبنی بر فهرست کردن فایل‌ها و یا دایرکتوری‌ها در پروتکلTFTP ، این گمنامی می‌تواند زمان به نتیجه رسیدن حملات از این طریق را به تأخیر بیندازد.

با‌توجه به امنیت بسیار پایین این پروتکل، توصیه شده است که این پروتکل حداکثر در شبکه‌های محلی به کار گرفته شود و برای ارتباط‌های راه دور و اینترنتی، از پروتکل‌های دیگری استفاده شود.

یکی دیگر از تهدیدهای پر اهمیت پروتکل  TFTPامکان سوء استفاده از آن برای انجام حملات DDOS است. عدم تعیین سایز پیش فرض برای برخی از فیلدها پرسش و پاسخ پروتکل state-less بودن پروتکل و عدم استفاده از روش‌های احراز اصالت از مهمترین دلایل پیدایش این حمله محسوب می‌شود.

برای اجرای حمله، فرد مهاجم ابتدا اقدام به یافتن سرورهای TFTP که از طریق شبکه اینترنت قابل دسترسی هستند، اقدام می‌کند.

پس از آن یک درخواست PRQ TFTP با حداقل سایز ممکن را ارسال نموده که پاسخ آن حداکثر بوده و به جای قرار دادن آدرس IP خود در فیلد آدرس IP فرستنده، آدرس IP فرد قربانی را قرار می‌دهد. در نتیجه پاسخ تولیدی برای فرد قربانی ارسال خواهد شد.

به‌دلیل اینکه تعداد بایت موجود در پیامی که سرور در پاسخ باز می‌گرداند نسبت به تعداد بایت موجود در پرسش ارسال شده از سوی کلاینت قابل توجه است، حمله کننده می‌تواند به ضریب تقویت بالایی دست پیدا کند.

بدین صورت با به کارگیری یک شبکه بات‌نت می‌توان حجم بسیار زیادی ترافیک به سوی فرد قربانی هدایت نمود. در نتیجه یک سرویس دهنده TFTP که پیکربندی صحیحی ندارد می‌تواند به طور ناخواسته در حمله DDoS مورد سوء استفاده قرار گیرد.

اگر تمام شرایط مورد نظر به درستی وجود داشته باشد، با استفاده از این حمله، ترافیک خروجی می‌تواند به میزان 60 برابر ترافیک اولیه نیز برسد. بررسی‌ها نشان می‌دهد بسیاری از نرم‌افزارهای TFTP به طور خودکار ترافیک خروجی در حدود 6 برابر ترافیک ورودی تولید می‌کنند. برای امن سازی تجهیزات در برابر سوء استفاده از این آسیب‌پذیری، موارد زیر باید اعمال شوند: بایستی در صورت عدم نیاز به TFTP ، این سرویس غیرفعال گردد. 

بایستی در صورت نیاز به TFTP ، تنها در شبکه محلی قابل دسترسی باشد. 

در صورت نیاز به دسترسی به این سرویس از طریق شبکه اینترنت، بایستی ترافیک وارد شده از بیرون شبکه به این سرویس و همچنین ترافیک خروجی آن از داخل شبکه به بیرون کنترل شوند. این کار با کنترل کردن ترافیک UDP/69 توسط دیواره آتش به سادگی قابل انجام است.