DDoS 攻击堪称是当前快速瘫痪特定网络基础设施与关键服务的有效利器,这点可以从俄乌大战之余,两国相互发动激烈的 DDoS 攻击中获得印证。如今,实战经验极其丰富的 DDoS 骇客,又另外发展出名为 TCP Middlebox Reflection 全新 DDoS 放大攻击手法。此手法一出,大大降低大规模 DDoS 攻击的门槛,因为攻击者可以轻松地将原本普通流量的攻击封包放大 65 倍。
当前俄乌战争已进入第 9 天,在实际的军事冲突之余,俄罗斯与乌克兰号召的骇客组织也在网络上展开激烈的 DDoS 攻击,以便瘫痪彼此-部门与银行机构等网络基础设施与服务。就在俄乌网络上开演火热 DDoS 攻击戏码之际,云端安全公司 Akamai 在网络上发现首度采用全新 TCP Middlebox Reflection 放大技术的 DDoS 攻击,这个新技术在 6 个月前还处于理论探讨阶段,没想到如今真的实际应用在 DDoS 攻击上。
从传统 UDP 反射技术到全新 TCP 反射放大手法
这个新技术源于去年 8 月出版的一份学术研究论文,该文探讨一种新的攻击途径与手法,能运用 Middlebox 与审查基础设施中所执行 TCP 协定的弱点,来对目标发动反射式 DoS 放大攻击。过去 DoS 放大攻击传统上惯用的是 UDP 反射手法,如今这个非传统攻击手法则充分利用不相容于深度检测封包(DPI)之类 Middlebox 的 TCP,来发动基于 TCP 的反射式放大攻击。
根据 Akamai 的研究报告指出,TCP Middlebox Reflection 技术会利用防火墙与内容过滤系统的弱点,然后将反射与放大的 TCP 流量倾注在目标受害机台上,进而形成强大的 DDoS 攻击。该手法最危险的地方,在于彻底降低了今后 DDoS 攻击的流量门槛,因为即使只有常见 DDoS 流量的 1/75,连新手骇客也能轻松掀起涛天巨浪,宛如法海附身一般。
第一波运用此一新手法的 DDoS 放大攻击大约出现在 2 月 17 日左右,骇客以每秒 150 万个封包数、最高 11Gbps 的流量攻击横跨金融、旅游、游戏、媒体及 Web 代管服务等产业的 Akamai 客户。
单一 33 Bytes 攻击封包能触发 2,156 Bytes 回应封包
TCP 放射式攻击的核心攻击思维就是,运用 Middlebox 这个被用来执行审查法规及企业内容过滤政策的设备,以便发送特制的 TCP 封包来触发巨量的回应封包。在 Akamai 观测到的某一次攻击中,该公司发现包含 33 字节封包负载的单一 SYN 封包,竟能触发多达 2,156 字节的回应封包,其放大倍数达到惊人的 65 倍(6,533%)。
令人担心的是,随着新技术大幅降低 DDoS攻 击的门槛,愈来愈多的攻击者已开始打造运用这个新技术的攻击工具。对此,Akamai 建议,企业应根据这个全新攻击途径与手法,重新检视自身的安全防御策略,以便更弹性、更完备地因应日新月异 DDoS 攻击的挑战。
- Hackers Begin Weaponizing TCP Middlebox Reflection for Amplified DDoS Attacks
(首图来源:Akamai)
