能將 DDoS 封包放大 65 倍的全新攻擊手法橫空出世!任何新手都能輕鬆癱瘓目標

作者 | 發布日期 2022 年 03 月 06 日 0:00 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


DDoS 攻擊堪稱是當前快速癱瘓特定網路基礎設施與關鍵服務的有效利器,這點可以從俄烏大戰之餘,兩國相互發動激烈的 DDoS 攻擊中獲得印證。如今,實戰經驗極其豐富的 DDoS 駭客,又另外發展出名為 TCP Middlebox Reflection 全新 DDoS 放大攻擊手法。此手法一出,大大降低大規模 DDoS 攻擊的門檻,因為攻擊者可以輕鬆地將原本普通流量的攻擊封包放大 65 倍。

當前俄烏戰爭已進入第 9 天,在實際的軍事衝突之餘,俄羅斯與烏克蘭號召的駭客組織也在網路上展開激烈的 DDoS 攻擊,以便癱瘓彼此政府部門與銀行機構等網路基礎設施與服務。就在俄烏網路上開演火熱 DDoS 攻擊戲碼之際,雲端安全公司 Akamai 在網路上發現首度採用全新 TCP Middlebox Reflection 放大技術的 DDoS 攻擊,這個新技術在 6 個月前還處於理論探討階段,沒想到如今真的實際應用在 DDoS 攻擊上。

從傳統 UDP 反射技術到全新 TCP 反射放大手法

這個新技術源於去年 8 月出版的一份學術研究論文,該文探討一種新的攻擊途徑與手法,能運用 Middlebox 與審查基礎設施中所執行 TCP 協定的弱點,來對目標發動反射式 DoS 放大攻擊。過去 DoS 放大攻擊傳統上慣用的是 UDP 反射手法,如今這個非傳統攻擊手法則充分利用不相容於深度檢測封包(DPI)之類 Middlebox 的 TCP,來發動基於 TCP 的反射式放大攻擊。

根據 Akamai 的研究報告指出,TCP Middlebox Reflection 技術會利用防火牆與內容過濾系統的弱點,然後將反射與放大的 TCP 流量傾注在目標受害機台上,進而形成強大的 DDoS 攻擊。該手法最危險的地方,在於徹底降低了今後 DDoS 攻擊的流量門檻,因為即使只有常見 DDoS 流量的 1/75,連新手駭客也能輕鬆掀起濤天巨浪,宛如法海附身一般。

第一波運用此一新手法的 DDoS 放大攻擊大約出現在 2 月 17 日左右,駭客以每秒 150 萬個封包數、最高 11Gbps 的流量攻擊橫跨金融、旅遊、遊戲、媒體及 Web 代管服務等產業的 Akamai 客戶。

單一 33 Bytes 攻擊封包能觸發 2,156 Bytes 回應封包

TCP 放射式攻擊的核心攻擊思維就是,運用 Middlebox 這個被用來執行審查法規及企業內容過濾政策的設備,以便發送特製的 TCP 封包來觸發巨量的回應封包。在 Akamai 觀測到的某一次攻擊中,該公司發現包含 33 位元組封包負載的單一 SYN 封包,竟能觸發多達 2,156 位元組的回應封包,其放大倍數達到驚人的 65 倍(6,533%)。

令人擔心的是,隨著新技術大幅降低 DDoS攻 擊的門檻,愈來愈多的攻擊者已開始打造運用這個新技術的攻擊工具。對此,Akamai 建議,企業應根據這個全新攻擊途徑與手法,重新檢視自身的安全防禦策略,以便更彈性、更完備地因應日新月異 DDoS 攻擊的挑戰。

(首圖來源:Akamai