《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 關注,!一種更具破壞力的DDoS放大攻擊新模式

關注,!一種更具破壞力的DDoS放大攻擊新模式

2022-03-21
來源:安全牛
關鍵詞: DDoS

  近日,,內(nèi)容分發(fā)網(wǎng)絡(CDN)運營商Akamai表示,,一種使網(wǎng)站快速癱瘓的DDoS放大攻擊新方法正在被不法分子所利用,。這種方法是通過控制數(shù)量巨大的中間設備(middlebox,,主要是指配置不當?shù)姆掌鳎?,可以將大量垃圾?shù)據(jù)快速放大到之前無法想象的規(guī)模。

  這些中間設備大多未遵循傳輸控制協(xié)議規(guī)范——在建立連接之前,,這種規(guī)范需要三方握手,,這個握手過程包括客戶端發(fā)送SYN數(shù)據(jù)包、服務器發(fā)送SYN+ACK響應以及客戶端發(fā)送用于確認的ACK數(shù)據(jù)包,。

  由于ACK確認數(shù)據(jù)包必須來自合法用戶,,而不是欺騙目標IP地址的攻擊者,這種握手機制會阻止基于TCP的應用程序被用作放大器,。但是考慮到需要處理非對稱路由,,這類中間設備有意放棄了這一要求。這就使得攻擊者可以通過放大手法提高攻擊力,,實施更具破壞力的DDoS攻擊活動,。

  隱藏的武器庫

  去年8月,馬里蘭大學和科羅拉多大學博爾德分校的研究人員發(fā)表的研究結(jié)果表明,,攻擊者有能力利用這數(shù)十萬個中間設備發(fā)動最嚴重的分布式拒絕服務(DDoS)攻擊,。攻擊者使用DDoS向網(wǎng)站發(fā)送流量或超出服務器處理能力的垃圾數(shù)據(jù),從而使其拒絕向合法用戶提供服務,。DDoS類似以前的這種惡作劇——將更多電話轉(zhuǎn)到電話線不夠處理的比薩店,。

  為了盡量加大損害并節(jié)省資源,DDoS攻擊者常常通過放大手法提高攻擊力,。放大攻擊的原理是,,欺騙目標的IP地址,并向用于解析域名,、同步計算機時鐘或加快數(shù)據(jù)庫緩存的配置不當?shù)姆掌靼l(fā)送數(shù)量較少的數(shù)據(jù),。由于服務器自動發(fā)送的響應比請求大幾十倍、幾百倍甚至幾千倍,,所以這種自動響應讓受騙的目標不堪重負,。

  研究人員表示,他們發(fā)現(xiàn)的至少10萬個中間設備超過了DNS服務器的放大倍數(shù)(約54倍)和網(wǎng)絡時間協(xié)議服務器的放大倍數(shù)(約556倍),。他們發(fā)現(xiàn)使用memcached來放大流量的數(shù)百臺服務器,,會產(chǎn)生比上述配置不當?shù)姆掌鞲叩谋稊?shù)放大流量。memcached用于加速網(wǎng)站的數(shù)據(jù)庫緩存系統(tǒng),,可以將流量增加驚人的51000倍,。

  研究人員當時表示,他們沒有證據(jù)表明中間設備DDoS放大攻擊在外面被大肆使用,,但預計這一天早晚會到來,。近日,Akamai研究人員表示,,他們已檢測到多起DDoS攻擊就采用這種方式來使用中間設備,,其攻擊峰值流量達到11Gbps,,每秒150萬個數(shù)據(jù)包,。雖然與最大規(guī)模的DDoS相比是小巫見大巫,,但兩個研究團隊都預測:隨著DDoS攻擊者開始優(yōu)化攻擊,并找到更多可以被濫用的中間設備,,攻擊規(guī)模會變得更大,。

  去年8月發(fā)表研究論文的首席研究員Kevin Bock表示,DDoS攻擊者有強烈的動機來重現(xiàn)其團隊理論上推測的攻擊,。在Akamai的檢測中發(fā)現(xiàn),,一個中間設備收到了帶33字節(jié)有效載荷的SYN數(shù)據(jù)包,返回了2156字節(jié)的回復,。也就是說,,放大倍數(shù)是65,但這種放大攻擊手法大有潛力可挖,。

  Akamai研究人員表示:

  TCP容量耗盡攻擊以前需要攻擊者訪問大量機器和大量帶寬,,通常需要功能非常強大的機器,擁有高帶寬連接和源頭欺騙功能或僵尸網(wǎng)絡,。這是由于在此之前,,TCP協(xié)議方面沒有受到嚴重的放大攻擊;少量放大是有可能,,但被認為幾乎忽略不計,,至少與針對UDP的放大攻擊相比不值一提。

  如果想把SYN洪水攻擊與容量耗盡攻擊結(jié)合起來,,就需要1:1的攻擊帶寬量,,通常向受害者發(fā)送填充的SYN數(shù)據(jù)包這種流量。中間設備攻擊放大的出現(xiàn)顛覆了長期以來對TCP攻擊的這番認識?,F(xiàn)在,,從容量耗盡攻擊的角度來看,攻擊者在一些情況下只需要1/75的帶寬量,,攻擊者就能免費獲得SYN,、ACK或PSH+ACK洪水流量。

  攻擊從未停歇

  Akamai遇到的另一個中間設備由于未知原因使用自己的多個SYN數(shù)據(jù)包來響應SYN數(shù)據(jù)包,。遵循TCP規(guī)范的服務器不應該以這種方式響應,。更糟糕的是,該中間設備完全忽略了受害者發(fā)送的RST數(shù)據(jù)包,,這些數(shù)據(jù)包本該終止連接,。

  另外令人擔憂的是,Bock的研究團隊發(fā)現(xiàn),,一些中間設備在收到含有RST的任何其他數(shù)據(jù)包時做出響應,。這會造成無休止的數(shù)據(jù)包風暴,。Akamai還附上一段演示,展示了攻擊者攻擊基于TCP服務的特定端口時出現(xiàn)的破壞,。

  Akamai解釋,,這些發(fā)送到TCP應用程序/服務的SYN數(shù)據(jù)包會導致該應用程序試圖用多個SYN+ACK數(shù)據(jù)包進行響應,并保持TCP會話開放,,等待三方握手的其余過程,。由于每個TCP會話都處于這種半開放狀態(tài),系統(tǒng)會消耗套接字,,反過來會消耗資源,,最終資源完全耗盡。

  遺憾的是,,普通的最終用戶無法阻止DDoS放大手法被利用,。同時,在許多情況下,,中間設備運營方重新配置其設備是不可能的,。網(wǎng)絡防御者必須改變其過濾和響應數(shù)據(jù)包的方式。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者,。如涉及作品內(nèi)容,、版權和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。