在中介軟體和審查基礎設施中實施 TCP 協議的弱點可以被武器化為一個載體,以對任何目標進行反射拒絕服務 (DDoS) 放大攻擊,超過了許多現有的基於 UDP 的放大因素。
馬里蘭大學和科羅拉多大學博爾德分校的一組學者在 USENIX 安全研討會上詳細介紹了體積攻擊利用 TCP 不合規的網路中介軟體——例如防火牆、入侵防禦系統和深度資料包檢查 (DPI) 盒 — 放大網路流量,數十萬個 IP 地址提供的放大係數超過 DNS、NTP 和 Memcached。
該研究在會議上獲得了傑出論文獎,是同類研究中首次描述了一種通過濫用中間盒錯誤配置對 TCP 協定進行 DDoS 反射放大攻擊的技術,這種方法以前被認為可有效防止此類攻擊欺騙攻擊。
反射放大攻擊是一種 DDoS 攻擊,攻擊者利用 UDP 協議的無連接特性向配置錯誤的開放伺服器發出欺騙性請求,以便用大量資料包淹沒目標伺服器或網路,從而導致中斷或渲染伺服器及其周邊基礎設施無法進入。這通常發生在來自易受攻擊的服務的回應大於欺騙請求時,然後可以利用欺騙請求發送數千個這樣的請求,從而顯著放大發送給目標的大小和頻寬。
雖然 DDoS 放大傳統上是基於 UDP 的,因為 TCP 的三向握手會在基於 IP 的網路(SYN、SYN+ACK 和 ACK)上建立 TCP/IP 連接所產生的複雜性,但研究人員發現,大量的網路中介軟體不符合 TCP 標準,並且它們可以“回應帶有大塊頁面的欺騙審查請求,即使沒有有效的 TCP 連接或握手”,將這些設備變成有吸引力的 DDoS 放大攻擊目標。
“中間盒往往不是TCP-符合的設計:許多中介軟體嘗試[轉]處理非對稱路由,其中中介軟體只能看到資料包的一個方向的連接(例如,客戶機到伺服器),”研究人員說。“但這個功能讓他們容易受到攻擊:如果中介軟體僅基於連接的一側注入內容,攻擊者就可以欺騙 TCP 三向握手的一側,並說服中介軟體存在有效連接。”
換句話說,該機制依賴於誘使中間盒在沒有完成三向握手的情況下注入回應,隨後使用它訪問禁止域,例如色情、賭博和檔共用網站,導致中間盒以阻止頁面回應,這將比審查請求大得多,從而導致放大。
更重要的是,這些放大的回應不僅主要來自中介軟體,其中大部分網路檢查設備是民族國家審查機構,突出了此類基礎設施在使政府能夠抑制對其境內資訊的訪問方面所發揮的作用,甚至更糟,允許對手將網路設備武器化以攻擊互聯網上的任何受害者。
研究人員說:“國家審查基礎設施位於高速 ISP 處,能夠以令人難以置信的高頻寬發送和注入資料。” “這允許攻擊者放大大量流量,而不必擔心放大器飽和。其次,可用於觸發放大攻擊的大量源 IP 位址集區使受害者很難簡單地阻止少數反射器。審查員有效地將其國內的每個可路由 IP 位址(原文如此)變成了潛在的放大器。”
“中間盒引入一個意外,尚未利用的威脅,攻擊者可以利用發動強大的DDoS攻擊,”研究人員補充。“保護互聯網免受這些威脅需要許多中介軟體製造商和運營商的共同努力。”
|