分布式拒絕服務(wù)(DDoS)攻擊者正在使用一種新技術(shù)，即通過(guò)“瞄準(zhǔn)”脆弱的中間件，比如防火墻，來(lái)放大垃圾流量攻擊，從而使網(wǎng)站癱瘓。

放大攻擊并不是什么新東西，而且它曾經(jīng)幫助過(guò)攻擊者利用短時(shí)間的高達(dá)3.47Tbps的流量來(lái)攻擊服務(wù)器，使其癱瘓。去年，微軟在網(wǎng)絡(luò)游戲領(lǐng)域緩解了這種規(guī)模的攻擊。

然而，一場(chǎng)新的攻擊即將來(lái)襲。CDN服務(wù)提供商Akamai表示：最近出現(xiàn)了一波利用“TPC中間件反射”的攻擊。(也就是傳輸控制協(xié)議——聯(lián)網(wǎng)機(jī)器之間安全通信的基礎(chǔ)協(xié)議)。根據(jù)Akamai所說(shuō)，這次攻擊高達(dá)11Gbps，并且每秒鐘150萬(wàn)包(Mpps)。

去年八月，馬里蘭大學(xué)和科羅拉多大學(xué)分校的研究者們發(fā)表了一篇研究論文，對(duì)放大技術(shù)進(jìn)行了揭示。文中表明攻擊者可以通過(guò)TCP來(lái)濫用中間件。

大部分DDoS攻擊者都通過(guò)濫用用戶數(shù)據(jù)包協(xié)議(UDP)來(lái)放大數(shù)據(jù)包的傳遞。他們通常是向服務(wù)器發(fā)送數(shù)據(jù)包，服務(wù)器則會(huì)回復(fù)更大的數(shù)據(jù)包到攻擊者所期望的地址。

TCP攻擊利用了那些不符合TCP標(biāo)準(zhǔn)的網(wǎng)絡(luò)中間件。研究者發(fā)現(xiàn)成百上千的IP地址可以通過(guò)防火墻和內(nèi)容過(guò)濾器來(lái)將攻擊放大100倍以上。

因此，八個(gè)月前還僅存在于理論上的攻擊，如今已經(jīng)變成了真實(shí)的威脅。

一篇博客文章表示：“中間件DDoS放大攻擊是一種全新的TCP反射/放大攻擊，對(duì)網(wǎng)絡(luò)造成威脅。這是我們第一次在‘野外’發(fā)現(xiàn)這樣的技術(shù)?！?/p>

Cisco、Fortinet、SonicWall 和 Palo Alto Networks研發(fā)的防火墻以及類似的中間件是企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)鍵。然而在實(shí)行內(nèi)容過(guò)濾策略時(shí)，一些中間件無(wú)法準(zhǔn)確地驗(yàn)證TCP流的狀態(tài)。

Akamai 表示：“這些中間件可以被用來(lái)響應(yīng)狀態(tài)外的TCP包。并且，這些響應(yīng)通常旨在劫持用戶端瀏覽器的內(nèi)容，以試圖阻止用戶訪問(wèn)那些被阻止的內(nèi)容。而這些TCP實(shí)現(xiàn)可以反過(guò)來(lái)被攻擊者濫用，從而向DDoS受害者反射包和數(shù)據(jù)流在內(nèi)的TCP流量?！?/p>

攻擊者可以通過(guò)冒充目標(biāo)受害者的源IP地址來(lái)引導(dǎo)來(lái)自中間件的相應(yīng)流量，從而濫用這些中間件。

在TCP中，通過(guò)使用同步SYN控制標(biāo)志來(lái)交換三次握手的關(guān)鍵信息。攻擊者通過(guò)濫用一些中間件中的TCP實(shí)現(xiàn)，來(lái)使它們意外地響應(yīng)SYN數(shù)據(jù)包信息。在某些情況下，Akamai觀察到一個(gè)具有33字節(jié)有效載荷的SYN包產(chǎn)生了2156字節(jié)的響應(yīng)，也就是說(shuō)將其放大了6,533%。

點(diǎn)評(píng)

過(guò)去，反射放大攻擊主要是基于UDP協(xié)議的，如今通過(guò)TPC發(fā)起的DoS放大攻擊，相對(duì)于基于UDP的攻擊來(lái)說(shuō)，可以產(chǎn)生更多數(shù)量級(jí)的放大。要解決這個(gè)問(wèn)題，不僅需要防止攻擊者欺騙IP地址，而且需要保護(hù)中間件不被錯(cuò)誤地注入流量。顯然，要徹底地解決該問(wèn)題，還需長(zhǎng)久的努力。