Эксперты Akamai предупредили, что злоумышленники, специализирующиеся на DDoS-атаках, начали злоупотреблять промежуточными устройствами (middlebox) для отражения и усиления атак.

Об опасности таких атак в прошлом году предупреждала группа ученых из Университета Мэриленда и Колорадского университета в Боулдере. Исследователи утверждали, что для отражения и усиления атак можно использовать протокол TCP, причем коэффициент усиления у таких атак будет намного больше, чем у UDP, что сделает их одной из самых опасных форм DDoS’а.

Авторы исследования писали, что обнаружили недостаток в дизайне многочисленных промежуточных устройств, доступных в сети. Этим термином обозначают коммутаторы, концентраторы, модемы, маршрутизаторы, межсетевые экраны, балансировщики нагрузки, DPI и так далее. Как правило, такие девайсы установлены в сетях крупных организаций.

В частности, проблема затрагивает устройства для фильтрации контента, а наилучшими векторами для TCP DDoS в итоге оказываются сайты, которые обычно блокируются государственными системами цензуры или правилами крупных компаний.

По сути, исследователи выяснили, что злоумышленникам просто нужно отправлять промежуточному устройству (брандмауэру, DPI и тому подобным) последовательность TCP-пакетов, которые означают попытки подключения к сайтам с порнографией или азартными играми. Благодаря IP-спуфингу устройство ответит «страницей блокировки», которую направит жертвам атакующих, даже если те не находятся во внутренней сети организации.

Как уже сообщалось в прошлом году, TCP DDoS может оказаться намного опаснее других векторов DDoS:  эксперты обнаружили сотни тысяч IP-адресов с коэффициентом усиления, превышающим 100. Хуже того, еще тысячи IP-адресов демонстрируют коэффициент усиления в диапазоне от 1000 до 100 000 000, что ранее считалось попросту невероятным.

Как теперь пишут эксперты Akamai, злоумышленники действительно могут отправлять мидлбоксам последовательности пакетов TCP, и если заголовки HTTP-запросов будут содержать доменное имя заблокированного сайта, промежуточный девайс ответит HTTP-хэдерами или целыми HTML-страницами. Такие атаки в компании называют TCP Middlebox Reflection.

Сообщается, что первая волна атак была зафиксирована 17 февраля 2022 года, когда обрушилась на клиентов Akamai, работающих в сферах банковской, туристической, игровой и медиаиндустрии, а также связанных с хостингом. Пока мощность этих атак достигала лишь 11 Гбит/сек и 1,5 млн пакетов в секунду.

Ответ уязвимого промежуточного устройства

«Новый вектор использовался как отдельно, так и в качестве части многовекторных кампаний, при этом масштабы атак медленно росли», — говорят в Akamai.

Подчеркивается, что в ходе одной из этих атак всего один SYN-пакет с пейлоадом размером 33 байта вызывал ответ размером 2156 байт, то есть усиливал атаку примерно в 65 раз (на 6533%). То есть перспективы перед злоумышленниками открывают обширные.

Исследователи предупреждают, что если хакеры уже начали применять на практике новый вектор DDoS-атак, значит, многим компаниям пора пересмотреть свои стратегии защиты и подготовиться к тому, что скоро подобные атаки получат широкое распространение.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии