Hakerzy znajdują nowy sposób na przeprowadzanie niszczycielskich ataków DDoS

0
116

Kevin Bock, główny badacz odpowiedzialny za artykuł z sierpnia zeszłego roku, powiedział, że osoby atakujące DDoS miały wiele bodźców do powtórzenia ataków, o których mówił jego zespół.

„Niestety nie byliśmy zaskoczeni” – powiedział mi, gdy dowiedział się o aktywnych atakach. „Spodziewaliśmy się, że przeprowadzenie tych ataków na wolności będzie tylko kwestią czasu, ponieważ są one łatwe i bardzo skuteczne. Być może najgorsze jest to, że ataki są nowe; w rezultacie wielu operatorów nie posiada jeszcze zabezpieczeń, co sprawia, że ​​jest to o wiele bardziej kuszące dla atakujących”.

Jeden z middleboxów otrzymał pakiet SYN z 33-bajtowym ładunkiem i odpowiedział 2156-bajtową odpowiedzią. Przełożyło się to na współczynnik 65x, ale wzmocnienie może być znacznie większe przy większej ilości pracy.

Badacze Akamai napisali:

Wcześniej wolumetryczne ataki TCP wymagały od atakującego dostępu do wielu maszyn i dużej przepustowości, co zwykle jest obszarem zarezerwowanym dla bardzo rozbudowanych maszyn z połączeniami o dużej przepustowości i możliwościami fałszowania źródeł lub botnetów. Dzieje się tak, ponieważ do tej pory nie było znaczącego ataku wzmacniającego protokół TCP; niewielka ilość wzmocnienia była możliwa, ale uznano ją za prawie nieistotną lub co najmniej słabą i nieefektywną w porównaniu z alternatywami UDP.

Jeśli chciałbyś połączyć powódź SYN z atakiem wolumetrycznym, musiałbyś przekazać ofierze stosunek przepustowości 1:1, zwykle w postaci wypełnionych pakietów SYN. Wraz z nadejściem amplifikacji middlebox to od dawna utrzymywane zrozumienie ataków TCP nie jest już prawdziwe. Teraz atakujący potrzebuje zaledwie 1/75 (w niektórych przypadkach) przepustowości z punktu widzenia wolumetrycznego, a ze względu na dziwactwa z niektórymi implementacjami middlebox, atakujący dostają powódź SYN, ACK lub PSH+ACK za darmo.

Nieskończone burze pakietów i całkowite wyczerpanie zasobów

Inny middlebox napotkany przez Akamai, z nieznanych powodów odpowiedział na pakiety SYN wieloma własnymi pakietami SYN. Serwery zgodne ze specyfikacją TCP nigdy nie powinny odpowiadać w ten sposób. Odpowiedzi pakietu SYN zostały załadowane danymi. Co gorsza, middlebox całkowicie zignorował pakiety RST wysyłane od ofiary, które mają zakończyć połączenie.

Niepokojące jest również odkrycie zespołu badawczego Bocka, że ​​niektóre skrzynki pośrednie odpowiedzą, gdy otrzymają każdy dodatkowy pakiet, w tym RST.

„To tworzy nieskończoną burzę pakietów” – napisali naukowcy akademiccy w sierpniu. „Atakujący wywołuje u ofiary pojedynczą blokowaną stronę, co powoduje RST u ofiary, co powoduje nową blokowaną stronę ze wzmacniacza, co powoduje RST u ofiary itp. Przypadek podtrzymania przez ofiarę jest szczególnie niebezpieczny dla dwóch osób powodów. Po pierwsze, domyślne zachowanie ofiary podtrzymuje atak na samą siebie. Po drugie, ten atak powoduje, że ofiara zaleje własne łącze uplink, jednocześnie zalewanie łącza downlink”.

Akamai przedstawił również demonstrację pokazującą szkody, które pojawiają się, gdy atakujący atakuje określony port, na którym działa usługa oparta na protokole TCP.

„Te pakiety SYN skierowane do aplikacji/usługi TCP spowodują, że aplikacja będzie próbowała odpowiedzieć wieloma pakietami SYN+ACK i utrzyma otwarte sesje TCP w oczekiwaniu na pozostałą część trójstronnego uzgadniania”, wyjaśnił Akamai. „Ponieważ każda sesja TCP jest utrzymywana w stanie półotwartym, system zużywa gniazda, które z kolei zużywają zasoby, potencjalnie aż do całkowitego wyczerpania zasobów”.

Niestety, typowi użytkownicy końcowi nie mogą zrobić nic, aby zablokować wykorzystywane wzmocnienie DDoS. Zamiast tego operatorzy middleboxów muszą ponownie konfigurować swoje maszyny, co w wielu przypadkach jest mało prawdopodobne. Poza tym obrońcy sieci muszą zmienić sposób filtrowania i odpowiadania na pakiety. Zarówno Akamai, jak i badacze akademiccy dostarczają dużo bardziej szczegółowych instrukcji.

Ta historia pierwotnie ukazała się na Ars Technica.


ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj