分布式拒绝服务(DDoS)攻击者正在使用一种新技术,通过攻击脆弱的“中间箱”,如防火墙,来放大垃圾流量攻击。
放大攻击并不是什么新鲜事,它帮助攻击者以高达3.47 Tbps的短突发流量击倒服务器。微软去年减轻了这种规模的攻击,这是网络游戏玩家之间竞争的结果。
但一场新的袭击即将来临。Akamai是一家内容分发网络公司,它说它看到了最近一波使用“TCP中箱反射”的攻击浪潮,指的是传输控制协议(TCP)——一个建立在网络机器之间的安全通信的协议。据Akamai称,攻击达到了11gbps,每秒150万个数据包。
SEE:网络安全:让我们获得战术(ZDNet特别报道)
放大技术在去年8月的一篇研究论文中被揭示,该研究表明,攻击者可以通过TCP滥用防火墙等中间件来放大拒绝服务攻击。这篇论文来自马里兰大学和科罗拉多大学博尔德分校的研究人员。
大多数DDoS攻击都利用UDP (User Datagram Protocol)来放大数据包的传递,通常是将数据包发送到服务器,服务器会响应更大的数据包,然后将数据包转发给攻击者的目标。
TCP攻击是利用不符合TCP标准的网络中间体进行攻击。研究人员发现,数十万个IP地址可以利用防火墙和内容过滤设备将攻击放大100倍以上。
所以,8个月前还只是理论上的袭击,现在已经成为了真正的威胁。
“Middlebox DDoS放大是一种全新类型的TCP反射/放大攻击,对互联网是一个风险。这是我们第一次在野外观察到这种技术,”它在一篇博文中说。
来自思科、Fortinet、SonicWall和Palo Alto Networks等公司的防火墙和类似的中间设备,是企业网络基础设施的关键部分。然而,当强制执行内容过滤策略时,一些中间件并不正确地验证TCP流状态。
“这些盒子可以对州外的TCP数据包做出响应。这些响应通常包含旨在“劫持”客户端浏览器的内容,以阻止用户访问被阻止的内容。这种被破坏的TCP实现可能反过来被攻击者滥用,将包括数据流在内的TCP流量反映给DDoS受害者。”Akamai指出。
攻击者可以通过欺骗目标受害者的源IP地址来滥用这些信息箱,从而引导来自中间箱的响应流量。
在TCP中,连接使用同步(SYN)控制标志来交换用于三次握手的关键消息。攻击者在一些中间件中滥用TCP实现,导致他们意外地响应SYN包消息。在某些情况下,Akamai观察到,一个33字节负载的SYN包产生了2156字节的响应,将其大小放大了6533%。
