一�����、引言
2021年8月馬里蘭大學(xué)Kevin Bock等在USENIX大會(huì)上提出一種利用中間盒發(fā)起的新型TCP反射放大攻擊手法:攻擊者可以利用部分網(wǎng)絡(luò)中間盒在TCP會(huì)話識(shí)別上的漏洞����,實(shí)現(xiàn)一種全新的DDoS反射放大攻擊。與2018年出現(xiàn)的利用協(xié)議棧發(fā)起的TCP反射無法放大攻擊流量的情況不同����,這種新型攻擊實(shí)現(xiàn)了基于TCP協(xié)議的流量放大效果,這也使得該攻擊手法誕生之后����,在黑產(chǎn)中快速傳播�,全網(wǎng)泛濫。
二���、反射放大攻擊的前世今生
在說明這種新型攻擊手法之前�����,需要先科普一下反射放大攻擊��。所謂的反射放大攻擊是非常常見并且深受攻擊者歡迎的DDoS攻擊手法����,其基本原理非常簡(jiǎn)單:攻擊者通過控制僵尸網(wǎng)絡(luò)偽造靶機(jī)IP向特定的公網(wǎng)服務(wù)器發(fā)送請(qǐng)求��,公網(wǎng)服務(wù)器收到請(qǐng)求后會(huì)向靶機(jī)發(fā)送更大的應(yīng)答報(bào)文�����,從而實(shí)現(xiàn)攻擊流量放大。
這里的公網(wǎng)服務(wù)器是指對(duì)外開放某些可被利用作反射放大的協(xié)議端口的服務(wù)器�����,比較常見的協(xié)議有DNS�、NTP、SNMP����、Memcached等,這些協(xié)議一般基于基于UDP���,并且協(xié)議本身存在缺陷��,沒有校驗(yàn)來源IP的真實(shí)性���,且存在應(yīng)答報(bào)文遠(yuǎn)大于請(qǐng)求報(bào)文等特點(diǎn)。這種反射放大手法簡(jiǎn)單����、有效,一直深受黑客喜愛�����,所以很長(zhǎng)一段時(shí)間內(nèi)UDP反射就是反射放大攻擊的別稱。
那有沒有利用TCP協(xié)議做反射攻擊的����?答案是有的。早在2018年就出現(xiàn)利用公網(wǎng)服務(wù)器開放的TCP端口進(jìn)行反射攻擊的手法���,詳情見文章: 《新的DDoS攻擊手法來襲:TCP反射攻擊技術(shù)分析》���,相比UDP反射放大攻擊,此類利用TCP協(xié)議棧的反射攻擊實(shí)際并無太明顯的流量放大效果�,因?yàn)檎?qǐng)求的來源IP是偽造的����,無法與TCP服務(wù)器完成TCP三次握手建立連接,所以無法得到應(yīng)用層的應(yīng)答報(bào)文���。但是這種攻擊利用了TCP的協(xié)議棧特性�,使靶機(jī)看到攻擊流量具備協(xié)議棧行為�,而且成份復(fù)雜(synack、ack�、rst等混合流量)�,導(dǎo)致反向挑戰(zhàn)����、協(xié)議棧行為校驗(yàn)等傳統(tǒng)的TCP防護(hù)算法無法防護(hù),大大增加了防護(hù)難度�,所以這種TCP反射誕生后很快成為DDoS攻擊的主流攻擊手法。
三�、新型TCP反射放大攻擊襲來
3.1 新型TCP反射攻擊誕生
2021年8月馬里蘭大學(xué)Kevin Bock等在《USENIX Security 2021》上發(fā)表并獲得杰出論文獎(jiǎng)的《Weaponizing Middleboxes for TCP Reflected Amplification》介紹了一種利用中間盒發(fā)起的新型TCP反射放大攻擊手法。與2018年出現(xiàn)的TCP反射攻擊受限于TCP三次握手機(jī)制導(dǎo)致難以實(shí)現(xiàn)流量放大的情況不同�,這種新型的攻擊手法利用了部分中間盒沒有或者說無法嚴(yán)格遵循TCP協(xié)議棧的漏洞,精細(xì)構(gòu)造特定請(qǐng)求�����,觸發(fā)中間盒返回?cái)r截頁面�,而由于攔截頁面往往大于請(qǐng)求本身,最終實(shí)現(xiàn)了攻擊流量的放大�����。
之所以說中間盒沒有或者說無法嚴(yán)格遵循TCP協(xié)議棧是因?yàn)椋含F(xiàn)網(wǎng)很多中間盒例如防火墻���、合規(guī)系統(tǒng)等考慮到網(wǎng)絡(luò)架構(gòu)���、性能�、穩(wěn)定性等因素都會(huì)采用旁路部署����、單邊流量檢測(cè)的架構(gòu),即這些系統(tǒng)本身只能看到機(jī)房入向的流量數(shù)據(jù)���,最終這些中間盒只能根據(jù)單向流量判斷是否存在TCP連接�����,甚至有中間盒不判斷是否存在TCP連接�,直接解析請(qǐng)求內(nèi)容并下發(fā)攔截策略��。所以攻擊者發(fā)起這種新型TCP反射攻擊的流程簡(jiǎn)單總結(jié)起來只需要以下幾步:
攻擊者偽造靶機(jī)公網(wǎng)IP��,向存在中間盒(一般是合規(guī)系統(tǒng))的公網(wǎng)IP精心偽造單向TCP連接并發(fā)送一個(gè)包含未備案域名的請(qǐng)求�;
中間盒沒有對(duì)TCP會(huì)話做雙向的流量跟蹤����,誤判TCP三次握手已經(jīng)完成,并且檢測(cè)到未備案的域名請(qǐng)求�����,觸發(fā)未備案域名攔截動(dòng)作;
很多中間盒的攔截方式是返回一個(gè)較大的包含阻斷頁面的應(yīng)答報(bào)文�,靶機(jī)收到大量垃圾流量,最終黑客實(shí)現(xiàn)攻擊流量的反射放大���。
備注:當(dāng)然這個(gè)攻擊手法對(duì)基于雙向流量識(shí)別����,并嚴(yán)格遵循TCP協(xié)議棧的中間盒是無效的����。
3.2 攻擊原理和效果詳解
根據(jù)攻擊的思路可知,攻擊者如果想把這種手法運(yùn)用到實(shí)戰(zhàn)��,需要滿足3個(gè)關(guān)鍵條件:
找到欺騙中間盒讓其誤判TCP連接已經(jīng)建立的有效手段�����;
找到更容易觸發(fā)中間盒攔截的非法域名����;
找到放大系數(shù)盡可能大的中間盒。
(1)找到欺騙中間盒讓其誤判TCP連接已經(jīng)建立的有效手段
由于這種新型TCP反射攻擊本質(zhì)上是利用了部分中間盒的弱點(diǎn)�����,而全球互聯(lián)中存在種類極其繁多的中間盒,不同類型的中間盒具體機(jī)制存在差異�,所以需要找到有效、高效�、通用的方法,欺騙中間盒���,使其誤以為TCP連接已經(jīng)建立��。通過測(cè)試和分析�����,最終發(fā)現(xiàn)主要有以下TCP報(bào)文類型或組合可以欺騙中間盒:
值得注意的是單報(bào)文就能觸發(fā)攔截的場(chǎng)景一般都是對(duì)應(yīng)的中間盒完全沒有做任何的TCP握手檢查�����,而是基于特定標(biāo)志位的報(bào)文就直接提取域名并進(jìn)行攔截�����,此類中間盒相對(duì)較少。而SYN;PUSH+ACK這種請(qǐng)求報(bào)文組合完全偽造單向TCP握手和HTTP GET請(qǐng)求場(chǎng)景�,可以欺騙絕大部分只能看到單向流量的中間盒,所以觸發(fā)反射放大的成功率更高����。
(2)找到更容易觸發(fā)中間盒攔截的非法域名
找到欺騙中間盒��,讓其誤判已經(jīng)建立TCP連接的方法后�����,就需要找到更容易讓中間盒下發(fā)攔截的域名�����。實(shí)際上中間盒對(duì)特定域名的攔截本質(zhì)上就是互聯(lián)網(wǎng)&審查�,所謂的互聯(lián)網(wǎng)&審查是由于政治����、宗教、道德�、經(jīng)濟(jì)等原因,世界很多國(guó)家都會(huì)對(duì)互聯(lián)網(wǎng)流量進(jìn)行不同程度的審查而且對(duì)不符合當(dāng)?shù)胤煞ㄒ?guī)的域名進(jìn)行屏蔽和請(qǐng)求攔截���。而一般來說東亞���、東南亞、中東等國(guó)家的互聯(lián)網(wǎng)審計(jì)更為嚴(yán)格,所以某種程度上來說這些國(guó)家和地區(qū)的審計(jì)系統(tǒng)更容易被利用���。
盡管審查的范圍因國(guó)家地區(qū)而異���,所以很難找到一個(gè)被所有審計(jì)中間盒攔截的域名,Kevin Bock等人在Quack 工具發(fā)布的公共數(shù)據(jù)進(jìn)行測(cè)試分析�����,找到從大多數(shù)中間盒中引發(fā)響應(yīng)的 5 個(gè)域�,這些域巧合地跨越了五個(gè)不同的區(qū)域:
色情相關(guān)域名
賭博相關(guān)域名
社交媒體相關(guān)域名
文件共享相關(guān)域名
性健康/教育相關(guān)域名
(3)找到放大系數(shù)盡可能大的中間盒
為了讓靶機(jī)受到更大的攻擊流量,就需要找到放大效果更好的中間盒作為反射放大器����,而放大系數(shù)就是主要的衡量標(biāo)準(zhǔn)。
放大系數(shù)可以理解為流量的放大倍數(shù)��,計(jì)算方法非常簡(jiǎn)單���,就是response總長(zhǎng)度/query總長(zhǎng)度�。傳統(tǒng)的UDP反射攻擊的放大系數(shù)與具體的協(xié)議實(shí)現(xiàn)相關(guān)�,所以放大系數(shù)是一個(gè)相對(duì)固定的值:除了Memcached反射攻擊以外,其他UDP反射放大系數(shù)不超過600�,而且以200以內(nèi)為主�����。
而當(dāng)前這種新型TCP反射攻擊的放大倍數(shù)卻并不是一個(gè)固定的值,因?yàn)椴煌貐^(qū)���、不同廠商����、不同類型的中間盒的攔截方式并不一致����,甚至可以說是差別巨大。所以為了量化和評(píng)估這種手法的放大系數(shù)情況���,我們對(duì)全網(wǎng)網(wǎng)段進(jìn)行掃描���,并對(duì)放大系數(shù)超過5的反射放大器進(jìn)行統(tǒng)計(jì)分析:大部分反射放大器的放大系數(shù)在5~100之間,同時(shí)發(fā)現(xiàn)超過1萬個(gè)放大系數(shù)在100~10000的強(qiáng)力放大器����,不過更讓人吃驚的是還發(fā)現(xiàn)了幾個(gè)放大系數(shù)超過1萬,甚至超過5萬超級(jí)放大器�����。
那問題來了,按理來說中間盒應(yīng)答的阻斷包雖然可能會(huì)大于請(qǐng)求包�,但阻斷頁面大小畢竟是有限的,所以出現(xiàn)成百上千的放大倍數(shù)還能理解��,為何會(huì)出現(xiàn)數(shù)以萬倍�,甚至是超過5萬倍的放大效果呢?
而這個(gè)就是我們接下里討論的超級(jí)放大器�。
3.3 超級(jí)放大器
為了理解超級(jí)放大器,我們需要系統(tǒng)了解主要的反射場(chǎng)景:
場(chǎng)景一:服務(wù)器反射
這種場(chǎng)景下服務(wù)器收到請(qǐng)求后直接應(yīng)答����,一般會(huì)返回synack或者rst,這種反射場(chǎng)景實(shí)際就是2018年出現(xiàn)的利用服務(wù)器協(xié)議棧的TCP反射���,并無明顯放大效果�。
場(chǎng)景二:中間盒反射
攻擊請(qǐng)求觸發(fā)了中間盒攔截�����,中間盒代替服務(wù)器給靶機(jī)應(yīng)答一個(gè)較大的阻斷頁面�,從而實(shí)現(xiàn)攻擊流量放大,而且阻斷頁面越大�,放大系數(shù)越大�。當(dāng)然部分中間盒并不會(huì)應(yīng)答阻斷頁面����,而是直接代替服務(wù)器返回rst,這種情況下并不會(huì)有放大效果����。
場(chǎng)景三:服務(wù)器+中間盒反射
攻擊請(qǐng)求觸發(fā)既觸發(fā)了中間盒攔截�,又觸發(fā)了后端服務(wù)器的應(yīng)答,所以靶機(jī)會(huì)同時(shí)收到中間盒的攔截頁面以及服務(wù)器的synack或者rst�,放大系數(shù)會(huì)略大于場(chǎng)景二。
場(chǎng)景四:中間盒反射+路由環(huán)路
這個(gè)場(chǎng)景最為特殊�����,攻擊請(qǐng)求到達(dá)服務(wù)器所在IDC機(jī)房后����,由于路由環(huán)路使請(qǐng)求在兩個(gè)路由器之間循環(huán),最終導(dǎo)致中間盒收到大量請(qǐng)求�,最終給靶機(jī)多次應(yīng)答阻斷頁面。我們知道數(shù)據(jù)報(bào)文中有TTL字段����,每經(jīng)過一個(gè)路由設(shè)備就會(huì)減一�,直到減到0報(bào)文才會(huì)被丟棄����。而攻擊請(qǐng)求報(bào)文的初始TTL設(shè)置為255,這就意味著經(jīng)過路由環(huán)路��,放大系數(shù)會(huì)比原來的增大200+倍����。(如下圖: 攻擊請(qǐng)求環(huán)路導(dǎo)致中間盒收到大量重復(fù)請(qǐng)求)
然后這情況還不是最糟糕,在某些特定的網(wǎng)絡(luò)環(huán)境��,會(huì)存在TTL重置的情況(例如網(wǎng)絡(luò)中跑MPLS協(xié)議��,并設(shè)置了MPLS QOS���,某些廠商設(shè)備的MPLS QOS默認(rèn)會(huì)重置TTL)���,環(huán)路后請(qǐng)求包將無限循環(huán),最終中間盒被迫以最大能力應(yīng)答阻斷頁面�����,直到所在的出口帶寬滿載���。上述因素就是出現(xiàn)超大放大系數(shù)中間盒的原因����,這些反射器也被稱為超級(jí)放大器。當(dāng)然這種環(huán)路或者無限環(huán)路的情況會(huì)引起IDC運(yùn)維和安全人員的警惕����,所以超級(jí)反射器的存活并不穩(wěn)定。例如筆者找到印度的一個(gè)超級(jí)反射器后��,第二天就"失活"���,變成普通反射器。
此外�,Kevin Bock等在《USENIX Security 2021》提到的還有第五種反射場(chǎng)景:靶機(jī)與中間盒的持續(xù)反射也能實(shí)現(xiàn)無限放大的能力,但由于筆者掃描沒有發(fā)現(xiàn)此場(chǎng)景���,故本文不作詳細(xì)闡述����。
四��、防護(hù)方案
被利用做反射放大器的中間盒如防火墻����、合規(guī)系統(tǒng)一般都由IP網(wǎng)段所屬企業(yè)/運(yùn)營(yíng)商統(tǒng)一部署及運(yùn)營(yíng)����,所以同一個(gè)IP網(wǎng)段的放大效果接近�����,這就意味著如果攻擊者要對(duì)外發(fā)起這種攻擊���,往往會(huì)向反射放大器所在IP網(wǎng)段發(fā)起掃描式的請(qǐng)求���,這對(duì)反射放大器所在IP網(wǎng)段的來說就是掃段式的DDoS攻擊。
所以這種攻擊的受害者其實(shí)有兩個(gè):(1)被攻擊的靶機(jī); (2)被當(dāng)作放大器的IP網(wǎng)段�。我們需要的是:既能有效防御這種攻擊,又能避免成為攻擊者的反射放大器��。
4.1 新型TCP反射攻擊如何防護(hù)
如果我們被攻擊者盯上����,成為了靶機(jī),那么防護(hù)這種攻擊的關(guān)鍵就有兩個(gè): (1)有效的防護(hù)策略;(2)充足的防護(hù)帶寬���。
在防護(hù)策略方面:由于中間盒的應(yīng)答報(bào)文從四層流量上實(shí)際上與正常的HTTP應(yīng)答報(bào)文并無明顯差異��,所以防護(hù)這種攻擊實(shí)際比較困難��,一般來說可以通過以下方法防護(hù):
如果沒有源端口80的TCP業(yè)務(wù)流量�����,可以直接封禁源端口80的TCP流量�;
對(duì)非客戶所在區(qū)域或者IP網(wǎng)段進(jìn)行封禁;
借助云廠商專業(yè)的DDoS防護(hù)能力進(jìn)行防護(hù)��,例如火山引擎基于字節(jié)跳動(dòng)多年的海量業(yè)務(wù) DDoS 攻防積累���,結(jié)合流量指紋、機(jī)器學(xué)習(xí)等多種技術(shù)手段�,對(duì)流量進(jìn)行精細(xì)化清洗,清洗成功率 99.9% 以上�,可有效防護(hù)此類新型DDoS攻擊,讓用戶高枕無憂�����。
在防護(hù)帶寬方面:由于該攻擊手法具備流量放大效果���,攻擊流量往往很大��,充足的防護(hù)帶寬是不可或缺的���。所以如果業(yè)務(wù)被攻擊者盯上���,面臨這種大流量DDoS攻擊時(shí),非常推進(jìn)接入云端����,通過云廠商海量的防護(hù)帶寬進(jìn)行防御。例如火山引擎DDoS高防產(chǎn)品依托海量帶寬儲(chǔ)備資源與優(yōu)質(zhì)的BGP線路類型��,可以輕松抵御大流量 DDoS 攻擊����。
4.2 如何避免淪為反射放大器
如果企業(yè)的中間盒(特別是合規(guī)系統(tǒng))如果存在TCP會(huì)話識(shí)別的漏洞,且合規(guī)的阻斷頁面過大���,那么久很有可能會(huì)被外部攻擊者當(dāng)做"優(yōu)質(zhì)的"反射放大器���,從而不可避免地頻繁遭受掃段式DDoS攻擊,極大的浪費(fèi)了系統(tǒng)性能����、出口帶寬等寶貴資源�,而且面臨被靶機(jī)投訴甚至報(bào)復(fù)的風(fēng)險(xiǎn)��。為此優(yōu)化合規(guī)系統(tǒng)等中間盒的機(jī)制�,避免被利用將成為重要的安全話題,為此我們建議:
中間盒可以新增TCP報(bào)文的合法性檢查和丟棄��,例如syn置位但又?jǐn)y帶載荷的屬于明顯非法報(bào)文����,可以將其丟棄;
中間盒需要完善TCP會(huì)話識(shí)別能力�,避免直接從TCP單包里直接提取域名直接下發(fā)攔截。在條件具備的情況下�,盡量基于出入流量的雙向會(huì)話檢查,這樣可以徹底規(guī)避風(fēng)險(xiǎn)�����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
