DDoS新手法：中間件反射攻擊

分布式拒絕服務（DDoS）攻擊者正在使用一種新技術，即通過“瞄準”脆弱的中間件，比如防火墻，來放大垃圾流量攻擊，從而使網站癱瘓。

放大攻擊并不是什么新東西，而且它曾經幫助過攻擊者利用短時間的高達3.47Tbps的流量來攻擊服務器，使其癱瘓。去年，微軟在網絡游戲領域緩解了這種規模的攻擊。

然而，一場新的攻擊即將來襲。CDN服務提供商Akamai表示：最近出現了一波利用“TPC中間件反射”的攻擊。（也就是傳輸控制協議——聯網機器之間安全通信的基礎協議）。根據Akamai所說，這次攻擊高達11Gbps，并且每秒鐘150萬包（Mpps）。

去年八月，馬里蘭大學和科羅拉多大學分校的研究者們發表了一篇研究論文，對放大技術進行了揭示。文中表明攻擊者可以通過TCP來濫用中間件。

大部分DDoS攻擊者都通過濫用用戶數據包協議（UDP）來放大數據包的傳遞。他們通常是向服務器發送數據包，服務器則會回復更大的數據包到攻擊者所期望的地址。

TCP攻擊利用了那些不符合TCP標準的網絡中間件。研究者發現成百上千的IP地址可以通過防火墻和內容過濾器來將攻擊放大100倍以上。

因此，八個月前還僅存在于理論上的攻擊，如今已經變成了真實的威脅。

一篇博客文章表示：“中間件DDoS放大攻擊是一種全新的TCP反射/放大攻擊，對網絡造成威脅。這是我們第一次在‘野外’發現這樣的技術。”

Cisco、Fortinet、SonicWall 和 Palo Alto Networks研發的防火墻以及類似的中間件是企業網絡基礎設施的關鍵。然而在實行內容過濾策略時，一些中間件無法準確地驗證TCP流的狀態。

Akamai 表示：“這些中間件可以被用來響應狀態外的TCP包。并且，這些響應通常旨在劫持用戶端瀏覽器的內容，以試圖阻止用戶訪問那些被阻止的內容。而這些TCP實現可以反過來被攻擊者濫用，從而向DDoS受害者反射包和數據流在內的TCP流量。”

攻擊者可以通過冒充目標受害者的源IP地址來引導來自中間件的相應流量，從而濫用這些中間件。

在TCP中，通過使用同步SYN控制標志來交換三次握手的關鍵信息。攻擊者通過濫用一些中間件中的TCP實現，來使它們意外地響應SYN數據包信息。在某些情況下，Akamai觀察到一個具有33字節有效載荷的SYN包產生了2156字節的響應，也就是說將其放大了6,533%。

數世點評

過去，反射放大攻擊主要是基于UDP協議的，如今通過TPC發起的DoS放大攻擊，相對于基于UDP的攻擊來說，可以產生更多數量級的放大。要解決這個問題，不僅需要防止攻擊者欺騙IP地址，而且需要保護中間件不被錯誤地注入流量。顯然，要徹底地解決該問題，還需長久的努力。