在中间件和审查基础设施中实施 TCP 协议的弱点可以被武器化为一个载体,以对任何目标进行反射拒绝服务 (DoS) 放大攻击,超过了许多现有的基于 UDP 的放大因素。
马里兰大学和科罗拉多大学博尔德分校的一组学者在 USENIX 安全研讨会上详细介绍了体积攻击利用 TCP 不合规的网络中间件——例如防火墙、入侵防御系统和深度数据包检查 (DPI) 盒 — 放大网络流量,数十万个 IP 地址提供的放大系数超过 DNS、NTP 和 Memcached。
该研究在会议上获得了杰出论文奖,是同类研究中首次描述了一种通过滥用中间盒错误配置对 TCP 协议进行 DDoS 反射放大攻击的技术,这种方法以前被认为可有效防止此类攻击欺骗攻击。
反射放大攻击是一种 DoS 攻击,攻击者利用 UDP 协议的无连接特性向配置错误的开放服务器发出欺骗请求,以便用大量数据包淹没目标服务器或网络,从而导致中断或渲染服务器及其周边基础设施无法进入。这通常发生在来自易受攻击的服务的响应大于欺骗请求时,然后可以利用欺骗请求发送数千个这样的请求,从而显着放大发送给目标的大小和带宽。
虽然 DoS 放大传统上是基于 UDP 的,因为 TCP 的三向握手会在基于 IP 的网络(SYN、SYN+ACK 和 ACK)上建立 TCP/IP 连接所产生的复杂性,但研究人员发现,大量的网络中间件不符合 TCP 标准,并且它们可以“响应带有大块页面的欺骗审查请求,即使没有有效的 TCP 连接或握手”,将这些设备变成有吸引力的 DoS 放大攻击目标。
“中间盒往往不是TCP-符合的设计:许多中间件尝试[转]处理非对称路由,其中中间件只能看到数据包的一个方向的连接(例如,客户机到服务器),”研究人员说。“但这个功能让他们容易受到攻击:如果中间件仅基于连接的一侧注入内容,攻击者就可以欺骗 TCP 三向握手的一侧,并说服中间件存在有效连接。”
换句话说,该机制依赖于诱使中间盒在没有完成三向握手的情况下注入响应,随后使用它访问禁止域,例如色情、赌博和文件共享站点,导致中间盒以阻止页面响应,这将比审查请求大得多,从而导致放大。
更重要的是,这些放大的响应不仅主要来自中间件,其中大部分网络检查设备是民族国家审查机构,突出了此类基础设施在使政府能够抑制对其境内信息的访问方面所发挥的作用,甚至更糟,允许对手将网络设备武器化以攻击互联网上的任何受害者。
研究人员说:“国家审查基础设施位于高速 ISP 处,能够以令人难以置信的高带宽发送和注入数据。” “这允许攻击者放大大量流量,而不必担心放大器饱和。其次,可用于触发放大攻击的大量源 IP 地址池使受害者很难简单地阻止少数反射器。审查员有效地将其国内的每个可路由 IP 地址(原文如此)变成了潜在的放大器。”
“中间盒引入一个意外,尚未利用的威胁,攻击者可以利用发动强大的DoS攻击,”研究人员补充。“保护互联网免受这些威胁需要许多中间件制造商和运营商的共同努力。”
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/ddos-attacks-amplified-through-firewall-middleware.html
