Слабые стороны реализации протокола TCP в промежуточном программном обеспечении и инфраструктуре цензуры могут быть использованы в качестве вектора для проведения отраженных атак типа «отказ в обслуживании» (DoS) против любой цели, превышающих многие существующие коэффициенты усиления на основе UDP.
Команда ученых из Университета Мэриленда и Университета Колорадо в Боулдере подробно описала объемные атаки, в которых используется несовместимое с TCP промежуточное программное обеспечение сети, такое как межсетевые экраны, системы предотвращения вторжений и блоки глубокой проверки пакетов (DPI), на симпозиуме USENIX Security Symposium — Amplify network. трафика, сотни тысяч IP-адресов обеспечивают коэффициент усиления, превышающий DNS, NTP и Memcached.
Исследование, получившее на конференции награду за выдающуюся работу, является первым в своем роде, в котором описывается метод проведения атак с усилением отражения DDoS на протокол TCP путем злоупотребления неправильной конфигурацией промежуточного блока - метода, который ранее считался эффективным для предотвращения таких атак. от обмана.
Атака с усилением отражения — это DoS-атака, при которой злоумышленник использует природу протокола UDP без установления соединения для отправки поддельных запросов к неправильно сконфигурированному открытому серверу, чтобы наводнить целевой сервер или сеть большим количеством пакетов, вызывая сбой или рендеринг. Сервер и окружающая его инфраструктура Недоступны. Обычно это происходит, когда ответ от уязвимой службы превышает размер поддельного запроса, который затем можно использовать для отправки тысяч таких запросов, что значительно увеличивает размер и пропускную способность, отправляемые цели.
Хотя усиление DoS традиционно основывалось на UDP из-за сложностей, создаваемых трехэтапным установлением TCP/IP-соединений в сетях на базе IP (SYN, SYN+ACK и ACK), исследователи обнаружили, что большое количество Сетевое промежуточное программное обеспечение не совместимо с TCP, и оно может «отвечать на поддельные запросы проверки большими фрагментами страниц даже без действительного TCP-соединения или подтверждения связи», превращая эти устройства в привлекательные цели для DoS-атак с усилением.
«Промежуточные устройства, как правило, не являются TCP-совместимыми конструкциями: многие из них пытаются обрабатывать асимметричную маршрутизацию, когда промежуточное программное обеспечение видит пакеты только в одном направлении соединения (например, от клиента к серверу)», — говорят исследователи. «Но эта функция делает их уязвимыми для атак: если промежуточное программное обеспечение вводит контент только на основе одной стороны соединения, злоумышленник может подделать одну сторону трехэтапного рукопожатия TCP и убедить промежуточное программное обеспечение в существовании действительного соединения».
Другими словами, механизм основан на том, что промежуточный блок обманом заставляет ввести ответ без завершения трехэтапного рукопожатия и впоследствии использовать его для доступа к запрещенным доменам, таким как порно, азартные игры и сайты обмена файлами, в результате чего промежуточный блок блокирует ответ страницы. , что будет намного больше, чем запрос на проверку, что приведет к усилению.
Более того, эти усиленные ответы исходят не только от промежуточного программного обеспечения, большинство устройств сетевой цензуры являются национальными агентствами государственной цензуры, что подчеркивает роль, которую такая инфраструктура играет в предоставлении правительствам возможности подавлять доступ к информации в пределах своих границ или, что еще хуже, позволяя злоумышленникам использовать сетевые устройства в качестве оружия для нападения на любую жертву в Интернете.
"Национальная инфраструктура цензуры расположена на базе высокоскоростных интернет-провайдеров и способна отправлять и вводить данные с невероятно высокой пропускной способностью, - говорят исследователи. - Это позволяет злоумышленникам усиливать большие объемы трафика, не беспокоясь о насыщении усилителя. Во-вторых, это может Цензоры эффективно превращают каждый маршрутизируемый IP-адрес (так в оригинале) в своей стране в потенциальный усилитель».
«Промежуточный блок представляет собой неожиданную, неиспользованную угрозу, которую злоумышленники могут использовать для проведения мощных DoS-атак», — добавляют исследователи. «Защита Интернета от этих угроз требует совместных усилий многих производителей и операторов промежуточного программного обеспечения».
Оригинал статьи, автор: Chief Security Assessment, при перепечатке указать источник: https://cncso.com/ru/ddos-attacks-amplified-through-firewall-middleware.html
