能将DDoS封包放大65倍的全新攻击手法横空出世

DDoS攻击堪称是当前快速瘫痪特定网络基础设施与关键服务的有效利器,这点可以从俄乌大战之余,两国相互发动激烈的DDoS攻击中获得印证。如今,实战经验极其丰富的DDoS黑客,又另外发展出名为TCP Middlebox Reflection全新DDoS放大攻击手法。此手法一出,大大降低大规模DDoS攻击的门槛,因为攻击者可以轻松地将原本普通流量的攻击封包放大65倍。

当前俄乌战争已进入第9天,在实际的军事冲突之余,俄罗斯与乌克兰号召的黑客组织也在网络上展开激烈的DDoS攻击,以便瘫痪彼此政府部门与银行机构等网络基础设施与服务。就在俄乌网络上开演火热DDoS攻击戏码之际,云计算安全公司Akamai在网络上发现首度采用全新TCP Middlebox Reflection放大技术的DDoS攻击,这个新技术在6个月前还处于理论探讨阶段,没想到如今真的实际应用在DDoS攻击上。

从传统UDP反射技术到全新TCP反射放大手法

这个新技术源于去年8月出版的一份学术研究论文,该文探讨一种新的攻击途径与手法,能运用Middlebox与审查基础设施中所执行TCP协议的弱点,来对目标发动反射式DoS放大攻击。过去DoS放大攻击传统上惯用的是UDP反射手法,如今这个非传统攻击手法则充分利用不兼容于深度检测封包(DPI)之类Middlebox的TCP,来发动基于TCP的反射式放大攻击。

根据Akamai的研究报告指出,TCP Middlebox Reflection技术会利用防火墙与内容过滤系统的弱点,然后将反射与放大的TCP流量倾注在目标受害机台上,进而形成强大的DDoS攻击。该手法最危险的地方,在于彻底降低了今后DDoS攻击的流量门槛,因为即使只有常见DDoS流量的1/75,连新手黑客也能轻松掀起涛天巨浪,宛如法海附身一般。

第一波运用该新手法的DDoS放大攻击大约出现在2月17日左右,黑客以每秒150万个封包数、最高11Gbps的流量攻击横跨金融、旅游、游戏、媒体及Web托管服务等产业的Akamai客户。

单一33 Bytes攻击封包能触发2,156 Bytes回应封包

TCP放射式攻击的核心攻击思维就是,运用Middlebox这个被用来执行审查法规及企业内容过滤政策的设备,以便发送特定的TCP封包来触发巨量的回应封包。在Akamai观测到的某一次攻击中,该公司发现包含33字节封包负载的单一SYN封包,竟能触发多达2,156字节的回应封包,其放大倍数达到惊人的65倍(6,533%)。

令人担心的是,随着新技术大幅降低DDoS攻击的门槛,越来越多的攻击者已开始打造运用这个新技术的攻击工具。对此,Akamai建议,企业应根据这个全新攻击途径与手法,重新查看自身的安全防御策略,以便更弹性、更完备地应对日新月异DDoS攻击的挑战。

(首图来源:Akamai)

发表评论