分布式拒绝服务(DDoS)攻击者正在使用一种新技术来瘫痪网站,方法是“瞄准”易受攻击的中间件,例如防火墙,以放大垃圾邮件流量攻击。放大攻击并不是什么新鲜事,它已经帮助攻击者使用高达3.47Tbps的短流量来攻击服务器并使其瘫痪。去年,微软在在线游戏领域缓解了这种规模的攻击。然而,新的攻击即将袭来。CDN服务提供商Akamai表示:最近出现了一波利用“TPC中间件反射”的攻击浪潮。(又名传输控制协议-联网机器之间安全通信的底层协议)。据Akamai称,此次攻击高达11Gbps和每秒150万个数据包(Mpps)。去年八月,马里兰大学和科罗拉多大学的研究人员发表了一篇研究论文,阐明了放大技术。该论文表明,攻击者可以通过TCP滥用中间件。大多数DDoS攻击者通过滥用用户数据报协议(UDP)来放大数据包的传递。他们通常向服务器发送一个数据包,然后服务器用一个更大的数据包回复到攻击者想要的地址。TCP攻击利用不符合TCP标准的网络中间件。研究人员发现,数十万个IP地址可以通过防火墙和内容过滤器,将攻击放大100倍或更多。结果,八个月前还只是理论上的攻击,现在变成了真正的威胁。“中间件DDoS放大攻击是一类新的TCP反射/放大攻击,对网络构成威胁。这是我们第一次‘在野外’看到这种技术,”一篇博文说。Cisco、Fortinet、SonicWall和Firewalls以及PaloAltoNetworks开发的类似中间件是企业网络基础设施的关键。然而,在实施内容过滤策略时,一些中间件无法准确验证TCP流的状态。“这些中间件可用于响应状态外的TCP数据包,”Akamai说。“而且,这些响应通常旨在劫持客户端浏览器的内容,以试图阻止用户访问被阻止的内容。这些TCP实现可以抵消这些中间件可以通过模拟源IP地址被攻击者滥用目标受害者从中间件引导相应的流量。在TCP中,三次握手的关键信息是通过使用同步SYN控制标志来交换的。攻击者滥用某些中间件中的TCP实现,使其意外地响应SYN数据包消息。在某些情况下,Akamai观察到具有33字节有效负载的SYN数据包会产生2,156字节的响应,将其放大6,533%。点评以往反射放大攻击主要基于UDP协议。今天,通过TPC发起的DoS放大攻击可以产生比基于UDP的攻击更多数量级的放大。解决这个问题不仅需要防止攻击者伪造IP地址,还需要保护中间件不被误注入流量。显然,要彻底解决这个问题,还需要长期的努力。
