ddos技术(黑客找到了一种新的方式来提供毁灭性的DDoS攻击)

网络犯罪分子正在利用超过 100,000 台配置错误的服务器来使网站脱机。

马里兰大学的研究员凯文博克说:“我们预计这些攻击在野外进行只是时间问题,因为它们既简单又高效
马里兰大学的研究员凯文博克说:“我们预计这些攻击在野外进行只是时间问题,因为它们既简单又高效

 

  去年 8 月,学术 研究人员发现了一种有效的使站点离线的新方法:一组超过 100,000 个强大的错误配置服务器,可以将大量垃圾数据放大到曾经无法想象的规模。 在许多情况下,这些攻击可能会导致无限路由循环,从而导致自我持续的流量泛滥。 现在,内容交付网络 Akamai 表示,攻击者正在利用这些服务器来攻击银行、旅游、游戏、媒体和网络托管行业的网站。

这些服务器(称为中间盒)部署以阻止推送色情、赌博和盗版下载的网站。 服务器未能遵循 传输控制协议 需要 三次握手 包括客户端发送的 SYN 数据包、来自服务器的 SYN+ACK 响应和来自客户端的确认 ACK 数据包——在连接之前成立。

这种握手有助于防止基于 TCP 的应用程序被滥用为放大器,因为 ACK 确认必须来自游戏公司或其他目标,而不是攻击者欺骗目标的 IP 地址。 但考虑到处理非对称路由的需要,其中中间盒可以监控从客户端传递的数据包,但不能监控被审查或阻止的最终目的地,许多此类服务器在设计上放弃了这一要求。

一个隐藏的军火库

去年 8 月,马里兰大学和科罗拉多大学博尔德分校的 研究人员发表的研究 表明,有数十万个中间盒有可能提供一些有史以来最严重的分布式拒绝服务攻击。

几十年来,人们一直使用 DDoS 攻击 来淹没网站,使其流量或计算请求超出他们的处理能力,从而拒绝向合法用户提供服务。 这种攻击类似于过去的恶作剧,将更多的电话导向比萨店,而不是电话线来处理。

为了最大限度地造成损害并节省资源,DDoS 攻击者通常通过放大向量来增加攻击的火力。 放大通过欺骗目标的 IP 地址并在用于解析域名、同步计算机时钟或加速数据库缓存的配置错误的服务器上反弹相对少量的数据来工作。 因为服务器自动发送的响应比请求大几十、几百或几千倍,它压倒了被欺骗的目标。

研究人员表示,他们发现的至少 100,000 个中间盒超过了来自 DNS 服务器(约 54 倍)和网络时间协议服务器(约 556 倍)的放大系数。 研究人员表示,他们发现数百台服务器使用 memcached 以比配置错误的服务器更高的倍数放大流量,memcached 是一种用于加速网站的数据库缓存系统,可以将流量增加惊人的 51,000 倍。

精打细算的日子

研究人员当时表示,他们没有证据表明中间盒 DDoS 放大攻击在野外被积极使用,但预计这只是时间问题。

周二,Akamai 研究人员 报告称 ,这一天已经到来。 Akamai 研究人员表示,在过去一周中,他们检测到了多个 DDoS 攻击,这些攻击完全按照学术研究人员的预测方式使用了中间盒。 攻击的峰值为 11 Gbps 和每秒 150 万个数据包。

相比,这些攻击规模很小 最大的 DDoS 攻击 ,但两个研究团队都预计攻击会变得更大,因为不良行为者开始优化他们的攻击并识别出更多可以被滥用的中间盒(学术研究人员没有发布这些数据来防止它发生)以免被滥用)。

背后的首席研究员凯文·博克 (Kevin Bock) 论文 表示,DDoS 攻击者有很多动机来重现他的团队提出的攻击理论。

“不幸的是,我们并不感到惊讶,”他在得知主动攻击后告诉我。 “我们预计这些攻击在野外进行只是时间问题,因为它们既简单又高效。 也许最糟糕的是,这些攻击是新的。 因此,许多运营商还没有适当的防御措施,这使得它对攻击者更具吸引力。”

其中一个中间盒收到一个带有 33 字节有效载荷的 SYN 数据包,并以 2,156 字节的回复作为响应。 这转化为 65 倍,但放大有可能随着更多的工作而变得更大。

Akamai 研究人员写道:

体积 TCP 攻击以前需要攻击者访问大量机器和大量带宽,这通常是为具有高带宽连接和源欺骗功能或僵尸网络的非常强大的机器保留的竞技场。 这是因为到目前为止,还没有针对 TCP 协议的重大放大攻击; 少量放大是可能的,但与 UDP 替代方案相比,它被认为几乎可以忽略不计,或者至少低于标准且无效。

如果您想将 SYN 泛洪与容量攻击结合起来,您需要将 1:1 的带宽比推送给受害者,通常以填充 SYN 数据包的形式。 随着中间盒放大的到来,这种长期以来对 TCP 攻击的理解不再正确。 现在,从体积的角度来看,攻击者只需要 1/75(在某些情况下)的带宽量,并且由于某些中间盒实现的怪癖,攻击者免费获得 SYN、ACK 或 PSH+ACK 洪水。

无限的数据包风暴和完全的资源枯竭

Akamai 遇到的另一个中间盒因未知原因使用自己的多个 SYN 数据包响应 SYN 数据包。 遵循 TCP 规范的服务器不应该以这种方式响应。 SYN 数据包响应加载了数据。 更糟糕的是,中间盒完全忽略了受害者发送的 RST 数据包,这些数据包应该终止连接。

Bock 的研究团队还发现一些中间盒会在收到 任何 额外的数据包(包括 RST)时做出响应。

学术研究人员在 8 月写道:“这会造成无限的数据包风暴。” “攻击者向受害者引出单个块页面,这会导致受害者发出 RST,这会导致放大器产生新的块页面,从而导致受害者发出 RST,等等。受害者持续的案例对于两个人来说尤其危险原因。 首先,受害者的默认行为维持了对自身的攻击。 其次,这种攻击会导致受害者在淹没下行链路的同时淹没自己的上行链路。”

Akamai 还提供了一个演示,展示了当攻击者针对运行基于 TCP 的服务的特定端口时发生的损害。

“这些指向 TCP 应用程序/服务的 SYN 数据包将导致该应用程序尝试使用多个 SYN+ACK 数据包进行响应,并保持 TCP 会话打开,等待三向握手的其余部分,”Akamai 解释说。 “由于每个 TCP 会话都处于这种半开状态,系统将消耗套接字,这些套接字反过来又会消耗资源,可能会达到资源完全耗尽的程度。”

不幸的是,典型的最终用户无法阻止被利用的 DDoS 放大。 相反,中间盒操作员必须重新配置他们的机器,这在许多情况下是不可能的。 除此之外,网络防御者必须改变他们过滤和响应数据包的方式。 Akamai 和学术研究人员都提供了更详细的说明。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/9272.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
白马号白马号

相关推荐

  • Linux常用操作有哪些?

    Linux常用操作有哪些? 登录Linux系统 文件操作 进程管理 网络配置 登录Linux系统 在终端中输入用户名和密码登录系统。 命令:ssh username@ip_address 文件操作 查看文件内容 命令:cat filename 创建文件夹 命令:mkdir foldername 删除文件 命令:rm filename 复制文件 命令:cp s…

    2023-06-28
    00
  • Win7如何升级到Win8?(操作步骤和注意事项)

    Win7如何升级到Win8?(操作步骤和注意事项) 步骤一:备份数据 步骤二:检查系统要求 步骤三:购买或下载Windows 8 步骤四:安装Windows 8 步骤五:设置Windows 8 步骤六:注意事项 步骤一:备份数据 在升级前,务必备份重要数据,以防数据丢失。备份可以使用外部硬盘、云存储等方式。 步骤二:检查系统要求 在升级前,需要检查电脑是否满…

    2023-05-25
    00
  • Win10管理员账户删除了怎么解决?

    Win10管理员账户删除了怎么解决? 方法一:使用其他管理员账户 方法二:使用安全模式 方法三:使用第三方工具 方法一:使用其他管理员账户 如果你有其他管理员账户,可以使用该账户登录系统并重新创建被删除的管理员账户。 具体步骤如下: 使用其他管理员账户登录系统。 打开“计算机管理”。 在“本地用户和组”中,找到被删除的管理员账户。 右键点击该账户,选择“新建…

    2023-08-24
    00
  • Mac提示已损坏应用怎么安装?Mac提示已损坏应用的安装方法

    Mac提示已损坏应用怎么安装?Mac提示已损坏应用的安装方法 Mac提示已损坏应用的原因 解决Mac提示已损坏应用的方法 总结 Mac提示已损坏应用的原因 在安装一些来自未知来源或未经过认证的应用时,Mac系统会提示“已损坏,打不开”或“无法验证,因为它来自未知开发者”等错误信息,导致无法正常安装和使用。 这是因为Mac系统为了保障用户的安全,对于未知来源或…

    2023-07-02
    00
  • Win7无线网卡驱动下载推荐,解决网络连接问题

    Win7无线网卡驱动下载推荐,解决网络连接问题 问题描述 解决方案 下载推荐 问题描述 在使用Windows 7操作系统的电脑上,无线网络连接经常出现问题。有时候,无线网络连接会自动断开,或者无法连接到网络。这可能是由于电脑上的无线网卡驱动程序已经过时或损坏,导致无法正常工作。 解决方案 解决这个问题的方法是更新或重新安装无线网卡驱动程序。这可以通过以下步骤…

    2023-05-30
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信