هکرها شروع به استفاده از TCP Middlebox Reflection برای حملات شدید DDoS می‌کنند

دسته بندی ها : آسیب پذیری, اخبار 19 اسفند 1400 آپا دانشگاه تبریز 409 بازدید
TCP Middlebox Reflection

حملات انکار سرویس توزیع شده (DDoS) با استفاده از یک تکنیک تقویت شده جدید به نام TCP Middlebox Reflection برای اولین بار، شش ماه پس از ارائه مکانیسم حمله جدید به صورت تئوریکال، شناسایی شدند.

محققان Akamai در گزارشی که روز سه‌شنبه منتشر شد، گفتند: «این حمله از فایروال‌های آسیب‌پذیر و سیستم‌های فیلتر محتوا برای انعکاس و تقویت ترافیک TCP به ماشین قربانی سوء استفاده می‌کند و یک حمله DDoS قدرتمند ایجاد می‌کند.

محققان افزودند: «این نوع حمله به طور خطرناکی بار لازم برای حملات DDoS را پایین می‌آورد، زیرا مهاجم از نظر حجمی به ۱/۷۵  (در برخی موارد) پهنای باند نیاز دارد.»

انکار سرویس بازتابی توزیع شده (DRDOS) شکلی از حمله انکار سرویس توزیع شده (DDOS) است که بر روی سرورهای UDP در دسترس عموم و فاکتورهای تقویت پهنای باند (BAF) با هدف غلبه بر سیستم قربانی با حجم بالایی از پاسخ های UDP  متکی است.

در این حملات، حمله کننده تعداد زیادی درخواست‌های DNS یا NTP حاوی یک source IP address  جعلی را به منابع مورد نظر ارسال می‌کند و باعث می‌شود سرور مقصد پاسخ‌ها را به میزبانی که در آدرس جعلی قرار دارد به روشی تقویت‌شده که پهنای باند هدف را تماما مصرف می‌کند، تحویل دهد.

این توسعه پس از یک تحقیق آکادمیک منتشر شده در آگوست ۲۰۲۱ محقق شده است. این تحقیق در مورد یک بردار حمله جدید است که از نقاط ضعف در اجرای پروتکل TCP در middleboxها و زیرساخت‌های سانسور برای انجام حملات تقویت شده انکار سرویس بازتابی علیه اهداف سوء استفاده می‌کند.

در حالی که حملات تقویت DoS به طور سنتی از بردارهای بازتاب UDP سوء استفاده می‌کردند – به دلیل ماهیت بدون اتصال پروتکل – رویکرد این حمله غیر متعارف از عدم انطباق TCP در middleboxها مانند ابزارهای بازرسی عمیق بسته (DPI)  برای انجام حملات تقویت بازتابی مبتنی بر TCP استفاده می‌کند.

گفته می‌شود اولین موج حمله «قابل توجه» با بهره‌گیری از این روش در حدود ۱۷ فوریه رخ داد و مشتریان Akamai را در زمینه‌های بانکی مسافرتی، بازی‌ها، رسانه‌ها و صنایع هاستینگ وب با حجم بالایی از ترافیک که به ۱۱ گیگابیت بر ثانیه و ۱.۵ میلیون بسته در ثانیه (Mpps) در اوج خود می‌رسید، مورد حمله قرار داد.

Chad Seaman، سرپرست تیم تحقیقاتی اطلاعات امنیتی (SIRT) در Akamai، گفت: «این وکتور به تنهایی و به عنوان بخشی از کمپین‌های چند بردار استفاده می‌شود و اندازه حملات به آرامی در حال افزایش است. »

ایده اصلی بازتاب مبتنی بر TCP، استفاده از middleboxها می‌باشد که برای اجرای قوانین سانسور و سیاست‌های فیلتر محتوای سازمانی استفاده می‌شوند، که با ارسال بسته‌های TCP دستکاری شده باعث ایجاد پاسخ‌های با  حجم بالا می‌گردند.

در واقع، در یکی از حملات مشاهده شده توسط شرکت امنیت ابری، یک بسته SYN منفرد با یک بار ۳۳ بایتی، پاسخ ۲۱۵۶ بایتی را ایجاد کرد و به طور موثر به ضریب تقویت ۶۵ برابری (۶۵۳۳٪) دست یافت.

Seaman گفت: «نکته اصلی این است که سوءاستفاده از بردار جدید در دنیای واقعی بیشتر شده است. معمولاً، این نشانه‌ای است که به دنبال افزایش دانش و محبوبیت در زمینه DDoS و ایجاد ابزارهای جدید برای استفاده از بردار جدید توسط هکرها، سوءاستفاده‌های گسترده از یک بردار خاص رخ خواهد داد. »

Seaman افزود: «مدافعان باید بدانند که ما از تئوری به عمل رفته‌ایم و آن‌ها باید استراتژی‌های دفاعی خود را مطابق با این بردار جدید که ممکن است به زودی در دنیای واقعی مشاهده شود، مرور کنند. »

 

اخبار آسیب‌پذیری‌ها را از وبسایت آپا دانشگاه تبریز، بخش آسیب‌پذیری‌ها دنبال کنید.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد.

    لینک کوتاه :