研究人员展示了一种新的 DDoS 攻击向量,能够以 1000 倍甚至更多的放大系数发起攻击。该研究首次通过 TCP 协议进行 DDoS 反射放大攻击。
什么是 DDoS 反射放大?
- 在 2000 年代初首次记录,DDoS 攻击最初是通过用恶意数据包淹没受害者的托管基础设施来针对网站发起的。
- 随着时间的推移,进行 DDoS 攻击的方法越来越多样化。最危险的方法之一是 DDoS 反射放大攻击。
- 该技术有效地允许攻击者通过中间点反射和放大流向受害者基础设施的流量。
- 运行基于 UDP 的协议(如 SNMP、DNS、NetBIOS、CoAP 和 NTP)的服务器是此类攻击的最佳载体。
新的基于 TCP 的攻击
- 更糟糕的是,一组学者表示,防火墙、网络地址转换器 (NAT)、负载均衡器和深度包检测 (DPI) 等网络中间件可以被武器化以发起更复杂的 DDoS 反射放大攻击。
- 他们发现了中间盒设计中的一个缺陷,攻击者可以利用该缺陷发送畸形的 TCP 数据包序列。
- 在研究过程中,学术界发现成人内容、赌博、社交媒体和文件共享域可能是触发新的基于 TCP 的 DDoS 反射放大攻击的潜在载体。
有关部分
- 虽然攻击向量还没有被广泛使用,但研究人员声称,这些基于 TCP 的攻击远远大于最初滥用 UDP 协议的反射放大攻击。
- 此外,研究团队还发现,与网络中间盒对应的 2 亿个 IPv4 地址容易受到新形式的 DDoS 攻击。
应对威胁
研究人员已通知多个国家/地区可能在不久的将来面临这些攻击的中间件供应商。其中包括中国、埃及、印度、伊朗、阿曼、卡塔尔、俄罗斯、沙特阿拉伯、韩国、阿联酋和美国的供应商。研究人员观察到,根据调查结果,处理这种攻击媒介需要的不仅仅是固件补丁。这包括将配置更新部署到安装了中间盒的网络。
原文https://cyware.com/news/the-looming-threat-of-tcp-based-ddos-reflection-amplification-attack-6638d9c6