分布式拒絕服務(DDoS)攻擊者正在使用一種新技術,即通過「瞄準」脆弱的中間件,比如防火牆,來放大垃圾流量攻擊,從而使網站癱瘓。
放大攻擊並不是什麼新東西,而且它曾經幫助過攻擊者利用短時間的高達3.47Tbps的流量來攻擊服務器,使其癱瘓。去年,微軟在網絡遊戲領域緩解了這種規模的攻擊。
然而,一場新的攻擊即將來襲。CDN服務提供商Akamai表示:最近出現了一波利用「TPC中間件反射」的攻擊。(也就是傳輸控制協議——聯網機器之間安全通信的基礎協議)。根據Akamai所說,這次攻擊高達11Gbps,並且每秒鐘150萬包(Mpps)。
去年八月,馬里蘭大學和科羅拉多大學分校的研究者們發表了一篇研究論文,對放大技術進行了揭示。文中表明攻擊者可以通過TCP來濫用中間件。
大部分DDoS攻擊者都通過濫用用戶數據包協議(UDP)來放大數據包的傳遞。他們通常是向服務器發送數據包,服務器則會回復更大的數據包到攻擊者所期望的地址。
TCP攻擊利用了那些不符合TCP標準的網絡中間件。研究者發現成百上千的IP地址可以通過防火牆和內容過濾器來將攻擊放大100倍以上。
因此,八個月前還僅存在於理論上的攻擊,如今已經變成了真實的威脅。
一篇博客文章表示:「中間件DDoS放大攻擊是一種全新的TCP反射/放大攻擊,對網絡造成威脅。這是我們第一次在『野外』發現這樣的技術。」
Cisco、Fortinet、SonicWall 和 Palo Alto Networks研發的防火牆以及類似的中間件是企業網絡基礎設施的關鍵。然而在實行內容過濾策略時,一些中間件無法準確地驗證TCP流的狀態。
Akamai 表示:「這些中間件可以被用來響應狀態外的TCP包。並且,這些響應通常旨在劫持用戶端瀏覽器的內容,以試圖阻止用戶訪問那些被阻止的內容。而這些TCP實現可以反過來被攻擊者濫用,從而向DDoS受害者反射包和數據流在內的TCP流量。」
攻擊者可以通過冒充目標受害者的源IP地址來引導來自中間件的相應流量,從而濫用這些中間件。
在TCP中,通過使用同步SYN控制標誌來交換三次握手的關鍵信息。攻擊者通過濫用一些中間件中的TCP實現,來使它們意外地響應SYN數據包信息。在某些情況下,Akamai觀察到一個具有33字節有效載荷的SYN包產生了2156字節的響應,也就是說將其放大了6,533%。
過去,反射放大攻擊主要是基於UDP協議的,如今通過TPC發起的DoS放大攻擊,相對於基於UDP的攻擊來說,可以產生更多數量級的放大。要解決這個問題,不僅需要防止攻擊者欺騙IP地址,而且需要保護中間件不被錯誤地注入流量。顯然,要徹底地解決該問題,還需長久的努力。
參考閱讀
新型DDoS攻擊:單包即可發起 最高放大2千億倍
3.47T:微軟Azure遭遇史上最大DDoS攻擊
2200萬RPS:殭屍網絡DDoS攻擊「秀肌肉」
Cloudflare緩解史上最大型DDoS攻擊
留言列表