近日,内容分发网络(CDN)运营商Akamai表示,一种快速瘫痪网站的DDoS放大攻击新方法正在被不法分子利用。这种方法是通过控制大量的中间设备(middlebox,主要指配置不当的服务器),将大量的垃圾数据迅速放大到以前难以想象的规模。大多数这些中间设备不遵循传输控制协议规范——在建立连接之前需要三次握手。本次握手包括客户端发送SYN包,服务端发送SYN+ACK响应,客户端发送ACK确认数据包。由于ACK确认数据包必须来自合法用户,而不是欺骗目标IP地址的攻击者,因此这种握手机制可以防止基于TCP的应用程序被用作放大器。但考虑到处理非对称路由的需要,此类中间设备有意放弃了这一要求。这使得攻击者可以通过放大来增加攻击力,实施更具破坏性的DDoS攻击。隐藏的武器库去年8月,马里兰大学和科罗拉多大学博尔德分校的研究人员发表的研究结果表明,攻击者有能力使用这些数十万个中间设备发起最严重的分布式拒绝服务(DDoS)攻击.攻击者使用DDoS以超出服务器处理能力的流量或垃圾数据淹没网站,导致其拒绝为合法用户提供服务。DDoS类似于过去的恶作剧——将更多电话转移到电话线无法处理的比萨店。为了最大化破坏和节省资源,DDoS攻击者往往通过放大来增加攻击力。放大攻击通过欺骗目标的IP地址并将少量数据发送到配置不当的服务器来工作,这些服务器用于解析域名、同步计算机时钟或加速数据库缓存。由于服务器会自动发送比请求大数十倍、数百倍甚至数千倍的响应,因此这种自动响应会淹没受骗者的目标。研究人员表示,他们发现的至少100,000个中介机构超过了DNS服务器(约54倍)和网络时间协议服务器(约556倍)的放大倍数。他们发现,与上述配置不当的服务器相比,数百台使用memcached来放大流量的服务器会产生更高的倍增流量。Memcached用于加速网站的数据库缓存系统,可以将流量增加惊人的51,000倍。下面两张图说明了攻击的工作原理:研究人员当时表示,他们没有证据表明外部广泛使用中间DDoS放大攻击,但预计那一天会到来。近日,Akamai研究人员表示,他们已经检测到多起通过这种方式使用中间设备的DDoS攻击,攻击峰值流量达到11Gbps,每秒150万个数据包。虽然与最大的DDoS攻击相比显得微不足道,但两个研究团队都预测,随着DDoS攻击者开始优化他们的攻击并找到更多可以被滥用的中间设备,攻击将变得更大。去年8月发表研究论文的首席研究员KevinBock表示,DDoS攻击者有强烈的动机重现他的团队理论化的攻击。在Akamai的检测过程中,中间设备收到了一个带有33字节有效载荷的SYN数据包,并返回了一个2156字节的回复。也就是说,放大倍数是65,但是这种放大攻击方式,还是有很大的潜力可以挖掘的。Akamai研究人员表示:TCP容量消耗攻击以前需要攻击者访问大量机器和大量带宽,通常需要非常强大的机器具有高带宽连接和源欺骗功能或僵尸网络。这是由于到目前为止还没有发生过严重的TCP协议端的放大攻击;少量放大是可能的,但被认为可以忽略不计,至少与针对UDP的放大攻击相比不值一提。如果要将SYN泛洪攻击与容量攻击相结合,则需要1:1的攻击带宽,通常会向受害者发送填充的SYN数据包。中间设备攻击放大的出现,颠覆了长期以来对TCP攻击的认识。现在,从容量攻击的角度来看,攻击者在某些情况下只需要1/75的带宽,攻击者就可以免费获得SYN、ACK或PSH+ACK泛洪流量。攻击从未停止Akamai遇到的另一台中间设备由于未知原因响应了一个SYN数据包,它自己有多个SYN数据包。遵循TCP规范的服务器不应以这种方式响应。更糟糕的是,这个中介完全忽略了受害者发送的本应终止连接的RST数据包。同样令人担忧的是,Bock的研究团队发现一些中间设备在收到任何其他包含RST的数据包时会做出响应。这会造成无尽的数据包风暴。Akamai还附上了一个演示,展示了当攻击者攻击基于TCP的服务上的特定端口时可能发生的损害。Akamai解释说,这些发送到TCP应用程序/服务的SYN数据包会导致应用程序尝试使用多个SYN+ACK数据包进行响应,并在三向握手的其余部分保持TCP会话打开。对于处于半开状态的每个TCP会话,系统消耗套接字,套接字又消耗资源,最终资源完全耗尽。遗憾的是,普通最终用户无法阻止DDoS放大技术被利用。同时,在许多情况下,中间设备操作员不可能重新配置他们的设备。网络防御者必须改变他们过滤和响应数据包的方式。参考链接:https://arstechnica.com/information-technology/2022/03/unending-data-floods-and-complete-resource-exhaustion-ddoses-get-meaner/
