공격자는 방화벽 미들웨어를 이용하여 증폭된 DDoS 공격을 수행합니다.

미들웨어 및 검열 인프라에서 TCP 프로토콜 구현의 약점은 기존의 많은 UDP 기반 증폭 요소를 초과하여 모든 대상에 대해 반사된 서비스 거부(DoS) 증폭 공격을 수행하는 벡터로 무기화될 수 있습니다.

메릴랜드 대학과 콜로라도 볼더 대학의 학자 팀은 USENIX 보안 심포지엄에서 방화벽, 침입 방지 시스템, 심층 패킷 검사(DPI) 상자 등 TCP 비호환 네트워크 미들웨어를 이용하는 대량 공격을 자세히 설명했습니다. — Amplify network 트래픽의 경우 수십만 개의 IP 주소가 DNS, NTP 및 Memcached를 초과하는 증폭 요소를 제공합니다.

이번 학회에서 우수논문상을 수상한 이번 연구는 이전에 이러한 공격을 예방하는 데 효과적이라고 여겨졌던 방법인 미들박스의 잘못된 구성을 악용하여 TCP 프로토콜에 대한 DDoS 반사 증폭 공격을 수행하는 기술을 최초로 기술한 것입니다. 속아서 공격하다.

반사 증폭 공격은 공격자가 UDP 프로토콜의 연결 없는 특성을 악용하여 잘못 구성된 개방형 서버에 스푸핑된 요청을 발행하여 대상 서버나 네트워크에 대량의 패킷을 보내 중단이나 렌더링을 유발하는 DoS 공격입니다. 서버 및 주변 인프라입니다. 이는 일반적으로 취약한 서비스의 응답이 스푸핑된 요청보다 클 때 발생하며, 이를 악용하여 수천 개의 요청을 보내 대상으로 전송되는 크기와 대역폭을 크게 증폭시킬 수 있습니다.

DoS 증폭은 IP 기반 네트워크(SYN, SYN+ACK 및 ACK)를 통해 TCP/IP 연결을 설정할 때 TCP의 3방향 핸드셰이크에 의해 생성되는 복잡성으로 인해 전통적으로 UDP를 기반으로 했지만 연구원들은 많은 수의 네트워크 미들웨어는 TCP와 호환되지 않으며 "유효한 TCP 연결이나 핸드셰이크 없이도 대량의 페이지가 포함된 스푸핑된 검토 요청에 응답"할 수 있어 이러한 장치를 DoS 증폭 공격의 매력적인 대상으로 만들 수 있습니다.

"미들박스는 TCP와 호환되지 않는 설계인 경향이 있습니다. 많은 경우 미들웨어가 연결의 한 방향(예: 클라이언트에서 서버로)의 패킷만 보는 비대칭 라우팅을 처리하려고 합니다."라고 연구원은 말했습니다. "그러나 이 기능은 공격에 취약하게 만듭니다. 미들웨어가 연결의 한쪽만을 기반으로 콘텐츠를 주입하는 경우 공격자는 TCP 3방향 핸드셰이크의 한쪽을 스푸핑하여 유효한 연결이 존재한다고 미들웨어에 확신시킬 수 있습니다."

즉, 이 메커니즘은 3방향 핸드셰이크를 완료하지 않고 미들박스를 속여 응답을 주입한 후 이를 사용하여 포르노, 도박, 파일 공유 사이트와 같은 금지된 도메인에 액세스하여 미들박스가 페이지의 응답을 차단하도록 하는 방식입니다. , 이는 검토 요청보다 훨씬 커져서 증폭됩니다.

더욱이, 이러한 증폭된 응답은 주로 미들웨어에서 나올 뿐만 아니라, 대부분의 네트워크 검열 장치는 국가 검열 기관입니다. 이는 정부가 국경 내 정보에 대한 접근을 억제하거나 심지어 적의 침입을 허용하는 데 이러한 인프라가 수행하는 역할을 강조합니다. 인터넷상의 피해자를 공격하기 위해 네트워크 장치를 무기화합니다.

연구원들은 "국가 검열 인프라는 고속 ISP에 위치하며 믿을 수 없을 만큼 높은 대역폭으로 데이터를 보내고 주입할 수 있다"며 "이를 통해 공격자는 증폭기 포화에 대한 걱정 없이 대량의 트래픽을 증폭시킬 수 있다. 둘째, 증폭을 유발하는 데 사용됩니다. 공격의 대규모 소스 IP 주소 풀로 인해 피해자가 소수의 반사경을 단순히 차단하기가 어렵습니다. 검열관은 해당 국가의 라우팅 가능한 모든 IP 주소(원문)를 잠재적인 증폭기로 효과적으로 전환합니다."

연구원들은 “미들박스는 공격자가 강력한 DoS 공격을 시작하기 위해 악용할 수 있는 예상치 못한 미개척 위협을 도입합니다.”라고 덧붙였습니다. "이러한 위협으로부터 인터넷을 보호하려면 많은 미들웨어 제조업체와 운영자의 공동 노력이 필요합니다."