最近,内容分发网络(CDN)运营商Akamai这意味着一个网站迅速瘫痪DDoS新的放大攻击方法正在被罪犯使用。这种方法是通过控制大量中间设备来控制的(middlebox,主要是指配置不当的服务器),可以快速将大量垃圾数据放大到以前无法想象的规模。
这些中间设备大多不遵循传输控制协议规范——在建立连接之前,需要三方握手,包括客户端发送SYN发送数据包和服务器SYN ACK响应和客户端发送确认ACK数据包。
由于ACK确认数据包必须来自合法用户,而不是欺骗目标IP基于地址的攻击者手机制将阻止攻击者TCP该应用程序被用作放大器。然而,考虑到非对称路由的处理,这种中间设备故意放弃了这一要求。这使得攻击者可以通过放大来提高攻击力,并实施更具破坏性的方法DDoS攻击活动。
隐藏的武器库
去年8月,马里兰大学和科罗拉多大学博尔德分校的研究人员发表的研究结果表明,攻击者有能力利用数十万台中间设备推出最严重的分布式拒绝服务(DDoS)攻击。攻击者使用DDoS将流量或超出服务器处理能力的垃圾数据发送到网站,以拒绝为合法用户提供服务。DDoS类似之前的恶作剧——将更多的电话转移到电话线处理不足的比萨店。
为尽可能增加损害,节约资源,DDoS攻击者通常通过放大来提高攻击力。放大攻击的原则是欺骗目标IP地址,并向用于分析域名、同步计算机时钟或加速数据库缓存的服务器发送较少的数据。由于服务器自动发送的响应是要求的几十倍、几百倍甚至几千倍,这种自动响应使受骗的目标不堪重负。
研究人员说,他们至少发现了10万台中间设备DNS服务器的放大倍数(约54倍)和网络时间协议服务器的放大倍数(约556倍)。他们发现它memcached数百台服务器来放大流量,会产生比上述配置不当的服务器更高的倍数来放大流量。memcached数据库缓存系统用于加速网站,可以使流量增加惊人的51000倍。
下图显示了攻击原理:
研究人员当时说,没有证据表明中间设备DDoS放大攻击在外面被广泛使用,但预计这一天迟早会到来。Akamai研究人员说,他们已经检测到了很多DDoS攻击采用这种方式使用中间设备,攻击峰值流量达到11Gbps,每秒150万个数据包。尽管最大规模DDoS与小巫见大巫相比,但两个研究团队都预测:随着DDoS攻击者开始优化攻击,找到更多可以滥用的中间设备,攻击规模会更大。
去年8月发表研究论文的首席研究员Kevin Bock表示,DDoS攻击者有强烈的动机来重现其团队理论上推测的攻击。在Akamai检测发现,一个中间设备收到了33字节的有效载荷SYN数据包,回复2156字节的回复。换句话说,放大倍数是65,但这种放大攻击很大的潜力。
Akamai研究人员说:
TCP在容量耗尽攻击之前,攻击者需要访问大量的机器和带宽,通常需要具有高带宽连接和源欺骗功能或僵尸网络的功能非常强大的机器。这是因为在此之前,TCP协议没有受到严重的放大攻击;少量放大是可能的,但被认为几乎被忽视,至少是针对UDP放大攻击不值一提。
如果想把SYN洪水攻击与能耗攻击相结合,需要1:1的攻击带宽,通常向受害者发送填充物SYN数据包的流量。中间设备攻击放大的出现长期颠覆TCP对攻击的理解。现在,从容量耗尽攻击的角度来看,攻击者在某些情况下只需要1/75的带宽,攻击者可以免费获得SYN、ACK或PSH ACK洪水流量。
攻击从未停歇
Akamai由于未知原因,遇到的另一个中间设备使用了自己的多个设备SYN响应数据包SYN数据包TCP标准化的服务器不应该这样响应。更糟糕的是,中间设备完全忽略了受害者发送的信息RST这些数据包应该终止连接。
另一个令人担忧的是,Bock研究小组发现,一些中间设备被收到RST响应任何其他数据包。这将导致无休止的数据包风暴。Akamai还附上一个演示,展示攻击者攻击的基础TCP服务特定端口的损坏。
Akamai解释,这些发送到TCP应用程序/服务SYN数据包会导致应用程序试图使用多个SYN ACK响应数据包数据包TCP会话开放,等待三方握手的其余过程。因为每一个TCP会话处于半开放状态,系统会消耗套接字,反过来会消耗资源,最终资源会完全耗尽。
不幸的是,普通的最终用户无法阻止它DDoS使用放大技术。同时,在许多情况下,中间设备运营商不可能重新配置其设备。网络防御者必须改变其过滤和响应数据包的方式。
参考链接:
https://arstechnica.com/information-technology/2022/03/unending-data-floods-and-complete-resource-exhaustion-ddoses-get-meaner/