游戏服务器设计缺陷让其他计算机易受到攻击

一家网络安全公司上周四声称，多玩家游戏服务器允许游戏者在虚拟世界中彼此攻击，而这些服务器有可能成为网络犯罪分子用来攻击其它计算机的最新工具。

　　这家名为PivX Solutions的公司在自己的网站上公布了一份建议，声称那些使用Game Spy(游戏间谍)网络服务器的多玩家游戏——如“雷神之锤3”、“虚拟锦标赛2003”以及“战场1942”——有可能被利用来提高“拒绝服务”攻击的破坏力，在某些情况下可能高达400倍。

　　该公司首席技术官Geoff Shively说：“这种攻击能快速通过多道防火墙。”

　　造成这种弊端的原因是那些包含GameSpy网络密码的服务器对那些要求身份信息的请求会自动做出回应，并且不要求验证发送者的地址。

　　攻击者只需从服务器获得此类信息，然后伪造数据从而使服务器误认为数据来自某个实际上不存在的地址。

　　当游戏服务器做出回应时，大量反馈回的信息将被发送至攻击者预先设定的地址。

　　PivX网络安全研究人员Mike Kristovich说：“根据一般的经验，如果某种游戏支持GameSpy网络，那么它就容易受到攻击。”

　　David Wright是GameSpy网络的技术总监。他承认攻击可能发送的数据量相当惊人。但他同时也在有意低调评说该缺陷的严重性。

　　GameSpy计划就如何限制攻击的效果向合作伙伴提供一些指导原则。

　　此外它还计划提供一系列解决方案以限制服务器回应身份请求的速度。

　　这种问题利用了一种称之为用户数据协议(UDP)的互联网数据。

　　大部分互联网数据传输采用的是更常见的传输控制协议(TCP)。与之不同的是，UDP数据不要求在服务器和客户机之间建立连接。

　　这使攻击者可以使用虚假的源地址发送UDP数据集。当被攻击服务器对UDP数据做出响应时，它实际上是和攻击者一样将数据发送至虚假源地址中指定的目标服务器。