在中介軟體和審查基礎設施中實施TCP 協定的弱點可以被武器化為一個載體,以對任何目標進行反射拒絕服務(DoS) 放大攻擊,超過了許多現有的基於UDP 的放大因素。
馬裡蘭大學和科羅拉多大學博爾德分校的一組學者在USENIX 安全研討會上詳細介紹了體積攻擊利用TCP 不合規的網路中間件——例如防火牆、入侵防禦系統和深度資料包檢查(DPI) 盒— 放大網路流量,數十萬個IP 位址提供的放大係數超過DNS、NTP 和Memcached。
該研究在會議上獲得了傑出論文獎,是同類研究中首次描述了一種透過濫用中間盒錯誤配置對TCP 協議進行DDoS 反射放大攻擊的技術,這種方法以前被認為可有效防止此類攻擊欺騙攻擊。
反射放大攻擊是一種DoS 攻擊,攻擊者利用UDP 協定的無連接特性向配置錯誤的開放伺服器發出欺騙請求,以便用大量資料包淹沒目標伺服器或網絡,從而導致中斷或渲染伺服器及其周邊基礎設施無法進入。這通常發生在來自易受攻擊的服務的回應大於欺騙請求時,然後可以利用欺騙請求發送數千個這樣的請求,從而顯著放大發送給目標的大小和頻寬。
雖然DoS 放大傳統上是基於UDP 的,因為TCP 的三向握手會在基於IP 的網路(SYN、SYN+ACK 和ACK)上建立TCP/IP 連接所產生的複雜性,但研究人員發現,大量的網路中間件不符合TCP 標準,而且它們可以“響應帶有大塊頁面的欺騙審查請求,即使沒有有效的TCP 連接或握手”,將這些設備變成有吸引力的DoS 放大攻擊目標。
「中間盒往往不是TCP-符合的設計:許多中間件嘗試[轉]處理非對稱路由,其中中間件只能看到資料包的一個方向的連接(例如,客戶機到伺服器),」研究人員說。 「但這個功能讓他們容易受到攻擊:如果中間件僅基於連接的一側注入內容,攻擊者就可以欺騙TCP 三向握手的一側,並說服中間件存在有效連接。”
換句話說,該機制依賴於誘使中間盒在沒有完成三向握手的情況下注入響應,隨後使用它訪問禁止域,例如色情、賭博和文件共享站點,導致中間盒以阻止頁面響應,這將比審查請求大得多,從而導致放大。
更重要的是,這些放大的回應不僅主要來自中間件,其中大部分網路檢查設備是民族國家審查機構,突出了此類基礎設施在使政府能夠抑制對其境內資訊的存取方面所發揮的作用,甚至更糟,允許對手將網路設備武器化以攻擊網路上的任何受害者。
研究人員說:「國家審查基礎設施位於高速ISP 處,能夠以令人難以置信的高頻寬發送和注入資料。」 「這允許攻擊者放大大量流量,而不必擔心放大器飽和。其次,可用於觸發放大攻擊的大量來源IP 位址池使受害者很難簡單地阻止少數反射器。審查員有效地將其國內的每個可路由IP 位址(原文如此)變成了潛在的放大器。”
「中間盒引入一個意外,尚未利用的威脅,攻擊者可以利用發動強大的DoS攻擊,」研究人員補充道。 “保護互聯網免受這些威脅需要許多中間件製造商和運營商的共同努力。”
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/tw/ddos-attacks-amplified-through-firewall-middleware.html
