هکرها شروع به استفاده از TCP Middlebox Reflection برای حملات شدید DDoS میکنند

حملات انکار سرویس توزیع شده (DDoS) با استفاده از یک تکنیک تقویت شده جدید به نام TCP Middlebox Reflection برای اولین بار، شش ماه پس از ارائه مکانیسم حمله جدید به صورت تئوریکال، شناسایی شدند.
محققان Akamai در گزارشی که روز سهشنبه منتشر شد، گفتند: «این حمله از فایروالهای آسیبپذیر و سیستمهای فیلتر محتوا برای انعکاس و تقویت ترافیک TCP به ماشین قربانی سوء استفاده میکند و یک حمله DDoS قدرتمند ایجاد میکند.
محققان افزودند: «این نوع حمله به طور خطرناکی بار لازم برای حملات DDoS را پایین میآورد، زیرا مهاجم از نظر حجمی به ۱/۷۵ (در برخی موارد) پهنای باند نیاز دارد.»
انکار سرویس بازتابی توزیع شده (DRDOS) شکلی از حمله انکار سرویس توزیع شده (DDOS) است که بر روی سرورهای UDP در دسترس عموم و فاکتورهای تقویت پهنای باند (BAF) با هدف غلبه بر سیستم قربانی با حجم بالایی از پاسخ های UDP متکی است.
در این حملات، حمله کننده تعداد زیادی درخواستهای DNS یا NTP حاوی یک source IP address جعلی را به منابع مورد نظر ارسال میکند و باعث میشود سرور مقصد پاسخها را به میزبانی که در آدرس جعلی قرار دارد به روشی تقویتشده که پهنای باند هدف را تماما مصرف میکند، تحویل دهد.
این توسعه پس از یک تحقیق آکادمیک منتشر شده در آگوست ۲۰۲۱ محقق شده است. این تحقیق در مورد یک بردار حمله جدید است که از نقاط ضعف در اجرای پروتکل TCP در middleboxها و زیرساختهای سانسور برای انجام حملات تقویت شده انکار سرویس بازتابی علیه اهداف سوء استفاده میکند.
در حالی که حملات تقویت DoS به طور سنتی از بردارهای بازتاب UDP سوء استفاده میکردند – به دلیل ماهیت بدون اتصال پروتکل – رویکرد این حمله غیر متعارف از عدم انطباق TCP در middleboxها مانند ابزارهای بازرسی عمیق بسته (DPI) برای انجام حملات تقویت بازتابی مبتنی بر TCP استفاده میکند.
گفته میشود اولین موج حمله «قابل توجه» با بهرهگیری از این روش در حدود ۱۷ فوریه رخ داد و مشتریان Akamai را در زمینههای بانکی مسافرتی، بازیها، رسانهها و صنایع هاستینگ وب با حجم بالایی از ترافیک که به ۱۱ گیگابیت بر ثانیه و ۱.۵ میلیون بسته در ثانیه (Mpps) در اوج خود میرسید، مورد حمله قرار داد.
Chad Seaman، سرپرست تیم تحقیقاتی اطلاعات امنیتی (SIRT) در Akamai، گفت: «این وکتور به تنهایی و به عنوان بخشی از کمپینهای چند بردار استفاده میشود و اندازه حملات به آرامی در حال افزایش است. »
ایده اصلی بازتاب مبتنی بر TCP، استفاده از middleboxها میباشد که برای اجرای قوانین سانسور و سیاستهای فیلتر محتوای سازمانی استفاده میشوند، که با ارسال بستههای TCP دستکاری شده باعث ایجاد پاسخهای با حجم بالا میگردند.
در واقع، در یکی از حملات مشاهده شده توسط شرکت امنیت ابری، یک بسته SYN منفرد با یک بار ۳۳ بایتی، پاسخ ۲۱۵۶ بایتی را ایجاد کرد و به طور موثر به ضریب تقویت ۶۵ برابری (۶۵۳۳٪) دست یافت.
Seaman گفت: «نکته اصلی این است که سوءاستفاده از بردار جدید در دنیای واقعی بیشتر شده است. معمولاً، این نشانهای است که به دنبال افزایش دانش و محبوبیت در زمینه DDoS و ایجاد ابزارهای جدید برای استفاده از بردار جدید توسط هکرها، سوءاستفادههای گسترده از یک بردار خاص رخ خواهد داد. »
Seaman افزود: «مدافعان باید بدانند که ما از تئوری به عمل رفتهایم و آنها باید استراتژیهای دفاعی خود را مطابق با این بردار جدید که ممکن است به زودی در دنیای واقعی مشاهده شود، مرور کنند. »
اخبار آسیبپذیریها را از وبسایت آپا دانشگاه تبریز، بخش آسیبپذیریها دنبال کنید.
نظرات کاربران