分布式拒絕服務(wù)(DDoS)攻擊者正在使用一種新技術(shù)，即通過“瞄準(zhǔn)”脆弱的中間件，比如防火墻，來放大垃圾流量攻擊，從而使網(wǎng)站癱瘓。

放大攻擊并不是什么新東西，而且它曾經(jīng)幫助過攻擊者利用短時間的高達(dá)3.47Tbps的流量來攻擊服務(wù)器，使其癱瘓。去年，微軟在網(wǎng)絡(luò)游戲領(lǐng)域緩解了這種規(guī)模的攻擊。

然而，一場新的攻擊即將來襲。CDN服務(wù)提供商Akamai表示：最近出現(xiàn)了一波利用“TPC中間件反射”的攻擊。(也就是傳輸控制協(xié)議——聯(lián)網(wǎng)機(jī)器之間安全通信的基礎(chǔ)協(xié)議)。根據(jù)Akamai所說，這次攻擊高達(dá)11Gbps，并且每秒鐘150萬包(Mpps)。

去年八月，馬里蘭大學(xué)和科羅拉多大學(xué)分校的研究者們發(fā)表了一篇研究論文，對放大技術(shù)進(jìn)行了揭示。文中表明攻擊者可以通過TCP來濫用中間件。

大部分DDoS攻擊者都通過濫用用戶數(shù)據(jù)包協(xié)議(UDP)來放大數(shù)據(jù)包的傳遞。他們通常是向服務(wù)器發(fā)送數(shù)據(jù)包，服務(wù)器則會回復(fù)更大的數(shù)據(jù)包到攻擊者所期望的地址。

TCP攻擊利用了那些不符合TCP標(biāo)準(zhǔn)的網(wǎng)絡(luò)中間件。研究者發(fā)現(xiàn)成百上千的IP地址可以通過防火墻和內(nèi)容過濾器來將攻擊放大100倍以上。

因此，八個月前還僅存在于理論上的攻擊，如今已經(jīng)變成了真實(shí)的威脅。

一篇博客文章表示：“中間件DDoS放大攻擊是一種全新的TCP反射/放大攻擊，對網(wǎng)絡(luò)造成威脅。這是我們第一次在‘野外’發(fā)現(xiàn)這樣的技術(shù)。”

Cisco、Fortinet、SonicWall 和 Palo Alto Networks研發(fā)的防火墻以及類似的中間件是企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)鍵。然而在實(shí)行內(nèi)容過濾策略時，一些中間件無法準(zhǔn)確地驗(yàn)證TCP流的狀態(tài)。

Akamai 表示：“這些中間件可以被用來響應(yīng)狀態(tài)外的TCP包。并且，這些響應(yīng)通常旨在劫持用戶端瀏覽器的內(nèi)容，以試圖阻止用戶訪問那些被阻止的內(nèi)容。而這些TCP實(shí)現(xiàn)可以反過來被攻擊者濫用，從而向DDoS受害者反射包和數(shù)據(jù)流在內(nèi)的TCP流量。”

攻擊者可以通過冒充目標(biāo)受害者的源IP地址來引導(dǎo)來自中間件的相應(yīng)流量，從而濫用這些中間件。

在TCP中，通過使用同步SYN控制標(biāo)志來交換三次握手的關(guān)鍵信息。攻擊者通過濫用一些中間件中的TCP實(shí)現(xiàn)，來使它們意外地響應(yīng)SYN數(shù)據(jù)包信息。在某些情況下，Akamai觀察到一個具有33字節(jié)有效載荷的SYN包產(chǎn)生了2156字節(jié)的響應(yīng)，也就是說將其放大了6,533%。

點(diǎn)評

過去，反射放大攻擊主要是基于UDP協(xié)議的，如今通過TPC發(fā)起的DoS放大攻擊，相對于基于UDP的攻擊來說，可以產(chǎn)生更多數(shù)量級的放大。要解決這個問題，不僅需要防止攻擊者欺騙IP地址，而且需要保護(hù)中間件不被錯誤地注入流量。顯然，要徹底地解決該問題，還需長久的努力。