分布式拒絕服務(wù)(DDoS)攻擊者正在使用一種新技術(shù)���,即通過“瞄準”脆弱的中間件����,比如防火墻,來放大垃圾流量攻擊�,從而使網(wǎng)站癱瘓。
放大攻擊并不是什么新東西����,而且它曾經(jīng)幫助過攻擊者利用短時間的高達3.47Tbps的流量來攻擊服務(wù)器,使其癱瘓�����。去年�,微軟在網(wǎng)絡(luò)游戲領(lǐng)域緩解了這種規(guī)模的攻擊。
然而��,一場新的攻擊即將來襲����。CDN服務(wù)提供商Akamai表示:最近出現(xiàn)了一波利用“TPC中間件反射”的攻擊。(也就是傳輸控制協(xié)議——聯(lián)網(wǎng)機器之間安全通信的基礎(chǔ)協(xié)議)�����。根據(jù)Akamai所說���,這次攻擊高達11Gbps�����,并且每秒鐘150萬包(Mpps)���。
去年八月�,馬里蘭大學(xué)和科羅拉多大學(xué)分校的研究者們發(fā)表了一篇研究論文����,對放大技術(shù)進行了揭示。文中表明攻擊者可以通過TCP來濫用中間件����。
大部分DDoS攻擊者都通過濫用用戶數(shù)據(jù)包協(xié)議(UDP)來放大數(shù)據(jù)包的傳遞。他們通常是向服務(wù)器發(fā)送數(shù)據(jù)包����,服務(wù)器則會回復(fù)更大的數(shù)據(jù)包到攻擊者所期望的地址。
TCP攻擊利用了那些不符合TCP標準的網(wǎng)絡(luò)中間件�。研究者發(fā)現(xiàn)成百上千的IP地址可以通過防火墻和內(nèi)容過濾器來將攻擊放大100倍以上。
因此�,八個月前還僅存在于理論上的攻擊,如今已經(jīng)變成了真實的威脅��。
一篇博客文章表示:“中間件DDoS放大攻擊是一種全新的TCP反射/放大攻擊���,對網(wǎng)絡(luò)造成威脅����。這是我們第一次在‘野外’發(fā)現(xiàn)這樣的技術(shù)���!
Cisco、Fortinet���、SonicWall 和 Palo Alto Networks研發(fā)的防火墻以及類似的中間件是企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)鍵���。然而在實行內(nèi)容過濾策略時,一些中間件無法準確地驗證TCP流的狀態(tài)��。
Akamai 表示:“這些中間件可以被用來響應(yīng)狀態(tài)外的TCP包�。并且,這些響應(yīng)通常旨在劫持用戶端瀏覽器的內(nèi)容����,以試圖阻止用戶訪問那些被阻止的內(nèi)容。而這些TCP實現(xiàn)可以反過來被攻擊者濫用�����,從而向DDoS受害者反射包和數(shù)據(jù)流在內(nèi)的TCP流量��!
攻擊者可以通過冒充目標受害者的源IP地址來引導(dǎo)來自中間件的相應(yīng)流量����,從而濫用這些中間件。
在TCP中�,通過使用同步SYN控制標志來交換三次握手的關(guān)鍵信息。攻擊者通過濫用一些中間件中的TCP實現(xiàn)����,來使它們意外地響應(yīng)SYN數(shù)據(jù)包信息。在某些情況下���,Akamai觀察到一個具有33字節(jié)有效載荷的SYN包產(chǎn)生了2156字節(jié)的響應(yīng)��,也就是說將其放大了6,533%�����。
點評
過去���,反射放大攻擊主要是基于UDP協(xié)議的,如今通過TPC發(fā)起的DoS放大攻擊�,相對于基于UDP的攻擊來說�����,可以產(chǎn)生更多數(shù)量級的放大。要解決這個問題��,不僅需要防止攻擊者欺騙IP地址����,而且需要保護中間件不被錯誤地注入流量。顯然����,要徹底地解決該問題,還需長久的努力�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
