ミドルウェアや検閲インフラにおけるTCPプロトコルの実装上の弱点は、既存の多くのUDPベースの増幅要因以上に、あらゆるターゲットに対する反射的なサービス拒否(DoS)増幅攻撃のベクトルとして武器化することができる。
メリーランド大学とコロラド大学ボルダー校の学者グループが、USENIXセキュリティ・シンポジウムで、TCPに準拠しないネットワーク・ミドルウェア(ファイアウォール、侵入防御システム、ディープ・パケット・インスペクション(DPI)ボックスなど)を悪用してネットワーク・トラフィックを増幅するボリューメトリック攻撃について詳述した。何十万ものIPアドレスは、DNS、NTP、Memcachedを上回る増幅率を提供します。
同会議で優秀論文賞を受賞したこの研究は、ミドルボックスの設定ミスを悪用したTCPプロトコルへのDDoS反射増幅攻撃について、これまでこのような攻撃スプーフィング攻撃を防ぐのに有効と考えられていた手法を初めて記述したものである。
リフレクション増幅攻撃とは、攻撃者がUDPプロトコルのコネクションレスという性質を利用して、不正に設定されたオープンサーバーになりすましたリクエストを送信することで、標的のサーバーやネットワークに大量のパケットを送り込み、サーバーやその周辺のインフラを停止させたり、アクセス不能にしたりするDoS攻撃である。これは通常、脆弱なサービスからのレスポンスがなりすましリクエストよりも大きい場合に発生し、なりすましリクエストはその後、このようなリクエストを何千も送信するために使用され、ターゲットに送信されるサイズと帯域幅を大幅に増幅することができる。
DoS増幅は、IPベースのネットワーク上でTCP/IPコネクションを確立するためのTCPの3ウェイハンドシェイク(SYN、SYN+ACK、ACK)が複雑であるため、従来はUDPベースであったが、研究者らは、多数のネットワークミドルウェアデバイスがTCPに準拠しておらず、「有効なTCPコネクションやハンドシェイクがなくても、なりすましの検閲リクエストにページの大きなチャンクで応答する」ことができるため、これらのデバイスがDoS増幅攻撃の魅力的なターゲットになることを発見した。有効なTCP接続やハンドシェイクがない場合でも、なりすましのページの大きなチャンクでリクエストに応答する」ことができるため、これらのデバイスはDoS増幅の魅力的なターゲットになります。
「ミドルボックスは、設計上TCPに準拠していないことが多い。多くのミドルウェアは、非対称ルーティングを処理しようとしており、ミドルウェアはコネクションの一方向(例えば、クライアントからサーバー)のパケットしか見ることができない。「ミドルウェアがコネクションの片側だけに基づいてコンテンツを注入すると、攻撃者はTCPの3ウェイハンドシェイクの片側を偽装し、ミドルウェアに有効なコネクションが存在すると信じ込ませることができる。
言い換えれば、この仕組みは、3ウェイ・ハンドシェイクを完了させることなくミドルボックスにレスポンスを注入させ、その後にそのレスポンスを使ってポルノ、ギャンブル、ファイル共有サイトなどの禁止ドメインにアクセスし、その結果、ミドルボックスに検閲リクエストよりもはるかに大きなページレスポンスをブロックさせることで増幅させることに依存している。
さらに重要なことは、これらの増幅された反応は主にミドルウェアから来るだけでなく、これらのネットワーク検査デバイスの大半は国家検閲であり、このようなインフラが、政府が国境内の情報へのアクセスを阻害したり、さらに悪いことに、敵対者がインターネット上のあらゆる犠牲者を攻撃するためにネットワークデバイスを武器化することを可能にする役割を担っていることを強調している。
「国の検閲インフラは高速ISPに設置されており、非常に高い帯域幅でデータを送信・注入することができる。 「このため、攻撃者は増幅器が飽和することを恐れることなく、大量のトラフィックを増幅することができる。第二に、増幅攻撃を引き起こすために使用できるソースIPアドレスの大規模なプールは、被害者が単に一握りのリフレクターをブロックすることが困難になります。検閲者は事実上、その国のすべてのルーティング可能なIPアドレス(中略)を潜在的な増幅器に変えてしまう。"
「ミドルボックスは、攻撃者が強力なDoS攻撃を仕掛けるために利用できる、想定外の未開拓の脅威をもたらします。「このような脅威からインターネットを守るためには、多くのミドルウェア・メーカーとオペレーターの総力を結集する必要がある。
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/jp/ddos-attacks-amplified-through-firewall-middleware.html
