WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Hacker dùng vũ khí TCP Middlebox Reflection để tấn công DDoS
6 tháng sau lần đầu được phát hiện, các cuộc tấn công từ chối dịch vụ (DDoS) sử dụng một kỹ thuật khuếch đại mới gọi là TCP Middlebox Reflection.
Các nhà nghiên cứu của Akamai cho biết trong một báo cáo: "Cuộc tấn công lạm dụng lỗ hổng tường lửa và hệ thống lọc nội dung để khuếch đại lưu lượng TCP tới máy nạn nhân, tạo ra một cuộc tấn công DDoS mạnh mẽ".
Các nhà nghiên cứu cho biết thêm: “Kiểu tấn công này làm hạ thấp nguy cơ đối với các cuộc tấn công DDoS, vì kẻ tấn công cần lượng băng thông ít nhất là 1/5 (trong một số trường hợp)”.
Từ chối dịch vụ phản chiếu phân tán (DrDoS) là một dạng tấn công từ chối dịch vụ phân tán (DDoS) dựa vào các máy chủ UDP có thể truy cập công khai và các yếu tố khuếch đại băng thông (BAF) để áp đảo hệ thống của nạn nhân với lượng UDP lớn.
Trong các cuộc tấn công này, hacker gửi một loạt các yêu cầu DNS hoặc NTP có chứa địa chỉ IP nguồn giả mạo đến nội dung được nhắm mục tiêu, khiến máy chủ đích gửi phản hồi trở lại máy chủ lưu trữ tại địa chỉ giả mạo theo cách khuếch đại làm cạn kiệt băng thông cấp cho mục tiêu.
Mặc dù các cuộc tấn công khuếch đại DoS đã lạm dụng các vectơ phản xạ UDP theo truyền thống - do bản chất không kết nối của giao thức - kỹ thuật tấn công độc đáo này lợi dụng việc không tuân thủ TCP trong các hộp trung gian, chẳng hạn như các công cụ kiểm tra gói sâu (DPI) để thực hiện các cuộc tấn công khuếch đại phản xạ dựa trên TCP.
Làn sóng đầu tiên của các chiến dịch tấn công "đáng chú ý" lợi dụng kỹ thuật này được cho là đã xảy ra vào khoảng ngày 17 tháng 2, tấn công các khách hàng của Akamai trong các ngành ngân hàng, du lịch, trò chơi, truyền thông và lưu trữ web với lượng truy cập cao, đạt đỉnh 11 Gbps tại 1,5 triệu gói mỗi giây (Mpps).
Ý tưởng cốt lõi với sự phản ánh dựa trên TCP là tận dụng các hộp trung gian được sử dụng để thực thi luật kiểm duyệt và chính sách lọc nội dung doanh nghiệp bằng cách gửi các gói TCP được chế tạo đặc biệt để kích hoạt phản hồi khối lượng.
Như vậy, trong những cuộc tấn công được quan sát bởi công ty bảo mật đám mây, một gói SYN duy nhất với trọng tải 33-byte đã kích hoạt phản hồi 2,156 byte, đạt hiệu quả hệ số khuếch đại là 65x (6,533%).
Các nhà nghiên cứu của Akamai cho biết trong một báo cáo: "Cuộc tấn công lạm dụng lỗ hổng tường lửa và hệ thống lọc nội dung để khuếch đại lưu lượng TCP tới máy nạn nhân, tạo ra một cuộc tấn công DDoS mạnh mẽ".
Các nhà nghiên cứu cho biết thêm: “Kiểu tấn công này làm hạ thấp nguy cơ đối với các cuộc tấn công DDoS, vì kẻ tấn công cần lượng băng thông ít nhất là 1/5 (trong một số trường hợp)”.
Từ chối dịch vụ phản chiếu phân tán (DrDoS) là một dạng tấn công từ chối dịch vụ phân tán (DDoS) dựa vào các máy chủ UDP có thể truy cập công khai và các yếu tố khuếch đại băng thông (BAF) để áp đảo hệ thống của nạn nhân với lượng UDP lớn.
Trong các cuộc tấn công này, hacker gửi một loạt các yêu cầu DNS hoặc NTP có chứa địa chỉ IP nguồn giả mạo đến nội dung được nhắm mục tiêu, khiến máy chủ đích gửi phản hồi trở lại máy chủ lưu trữ tại địa chỉ giả mạo theo cách khuếch đại làm cạn kiệt băng thông cấp cho mục tiêu.
Mặc dù các cuộc tấn công khuếch đại DoS đã lạm dụng các vectơ phản xạ UDP theo truyền thống - do bản chất không kết nối của giao thức - kỹ thuật tấn công độc đáo này lợi dụng việc không tuân thủ TCP trong các hộp trung gian, chẳng hạn như các công cụ kiểm tra gói sâu (DPI) để thực hiện các cuộc tấn công khuếch đại phản xạ dựa trên TCP.
Làn sóng đầu tiên của các chiến dịch tấn công "đáng chú ý" lợi dụng kỹ thuật này được cho là đã xảy ra vào khoảng ngày 17 tháng 2, tấn công các khách hàng của Akamai trong các ngành ngân hàng, du lịch, trò chơi, truyền thông và lưu trữ web với lượng truy cập cao, đạt đỉnh 11 Gbps tại 1,5 triệu gói mỗi giây (Mpps).
Ý tưởng cốt lõi với sự phản ánh dựa trên TCP là tận dụng các hộp trung gian được sử dụng để thực thi luật kiểm duyệt và chính sách lọc nội dung doanh nghiệp bằng cách gửi các gói TCP được chế tạo đặc biệt để kích hoạt phản hồi khối lượng.
Như vậy, trong những cuộc tấn công được quan sát bởi công ty bảo mật đám mây, một gói SYN duy nhất với trọng tải 33-byte đã kích hoạt phản hồi 2,156 byte, đạt hiệu quả hệ số khuếch đại là 65x (6,533%).
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: