ddos技术(黑客找到了一种新的方式来提供毁灭性的DDoS攻击)

网络犯罪分子正在利用超过 100,000 台配置错误的服务器来使网站脱机。

马里兰大学的研究员凯文博克说:“我们预计这些攻击在野外进行只是时间问题,因为它们既简单又高效
马里兰大学的研究员凯文博克说:“我们预计这些攻击在野外进行只是时间问题,因为它们既简单又高效

 

  去年 8 月,学术 研究人员发现了一种有效的使站点离线的新方法:一组超过 100,000 个强大的错误配置服务器,可以将大量垃圾数据放大到曾经无法想象的规模。 在许多情况下,这些攻击可能会导致无限路由循环,从而导致自我持续的流量泛滥。 现在,内容交付网络 Akamai 表示,攻击者正在利用这些服务器来攻击银行、旅游、游戏、媒体和网络托管行业的网站。

这些服务器(称为中间盒)部署以阻止推送色情、赌博和盗版下载的网站。 服务器未能遵循 传输控制协议 需要 三次握手 包括客户端发送的 SYN 数据包、来自服务器的 SYN+ACK 响应和来自客户端的确认 ACK 数据包——在连接之前成立。

这种握手有助于防止基于 TCP 的应用程序被滥用为放大器,因为 ACK 确认必须来自游戏公司或其他目标,而不是攻击者欺骗目标的 IP 地址。 但考虑到处理非对称路由的需要,其中中间盒可以监控从客户端传递的数据包,但不能监控被审查或阻止的最终目的地,许多此类服务器在设计上放弃了这一要求。

一个隐藏的军火库

去年 8 月,马里兰大学和科罗拉多大学博尔德分校的 研究人员发表的研究 表明,有数十万个中间盒有可能提供一些有史以来最严重的分布式拒绝服务攻击。

几十年来,人们一直使用 DDoS 攻击 来淹没网站,使其流量或计算请求超出他们的处理能力,从而拒绝向合法用户提供服务。 这种攻击类似于过去的恶作剧,将更多的电话导向比萨店,而不是电话线来处理。

为了最大限度地造成损害并节省资源,DDoS 攻击者通常通过放大向量来增加攻击的火力。 放大通过欺骗目标的 IP 地址并在用于解析域名、同步计算机时钟或加速数据库缓存的配置错误的服务器上反弹相对少量的数据来工作。 因为服务器自动发送的响应比请求大几十、几百或几千倍,它压倒了被欺骗的目标。

研究人员表示,他们发现的至少 100,000 个中间盒超过了来自 DNS 服务器(约 54 倍)和网络时间协议服务器(约 556 倍)的放大系数。 研究人员表示,他们发现数百台服务器使用 memcached 以比配置错误的服务器更高的倍数放大流量,memcached 是一种用于加速网站的数据库缓存系统,可以将流量增加惊人的 51,000 倍。

精打细算的日子

研究人员当时表示,他们没有证据表明中间盒 DDoS 放大攻击在野外被积极使用,但预计这只是时间问题。

周二,Akamai 研究人员 报告称 ,这一天已经到来。 Akamai 研究人员表示,在过去一周中,他们检测到了多个 DDoS 攻击,这些攻击完全按照学术研究人员的预测方式使用了中间盒。 攻击的峰值为 11 Gbps 和每秒 150 万个数据包。

相比,这些攻击规模很小 最大的 DDoS 攻击 ,但两个研究团队都预计攻击会变得更大,因为不良行为者开始优化他们的攻击并识别出更多可以被滥用的中间盒(学术研究人员没有发布这些数据来防止它发生)以免被滥用)。

背后的首席研究员凯文·博克 (Kevin Bock) 论文 表示,DDoS 攻击者有很多动机来重现他的团队提出的攻击理论。

“不幸的是,我们并不感到惊讶,”他在得知主动攻击后告诉我。 “我们预计这些攻击在野外进行只是时间问题,因为它们既简单又高效。 也许最糟糕的是,这些攻击是新的。 因此,许多运营商还没有适当的防御措施,这使得它对攻击者更具吸引力。”

其中一个中间盒收到一个带有 33 字节有效载荷的 SYN 数据包,并以 2,156 字节的回复作为响应。 这转化为 65 倍,但放大有可能随着更多的工作而变得更大。

Akamai 研究人员写道:

体积 TCP 攻击以前需要攻击者访问大量机器和大量带宽,这通常是为具有高带宽连接和源欺骗功能或僵尸网络的非常强大的机器保留的竞技场。 这是因为到目前为止,还没有针对 TCP 协议的重大放大攻击; 少量放大是可能的,但与 UDP 替代方案相比,它被认为几乎可以忽略不计,或者至少低于标准且无效。

如果您想将 SYN 泛洪与容量攻击结合起来,您需要将 1:1 的带宽比推送给受害者,通常以填充 SYN 数据包的形式。 随着中间盒放大的到来,这种长期以来对 TCP 攻击的理解不再正确。 现在,从体积的角度来看,攻击者只需要 1/75(在某些情况下)的带宽量,并且由于某些中间盒实现的怪癖,攻击者免费获得 SYN、ACK 或 PSH+ACK 洪水。

无限的数据包风暴和完全的资源枯竭

Akamai 遇到的另一个中间盒因未知原因使用自己的多个 SYN 数据包响应 SYN 数据包。 遵循 TCP 规范的服务器不应该以这种方式响应。 SYN 数据包响应加载了数据。 更糟糕的是,中间盒完全忽略了受害者发送的 RST 数据包,这些数据包应该终止连接。

Bock 的研究团队还发现一些中间盒会在收到 任何 额外的数据包(包括 RST)时做出响应。

学术研究人员在 8 月写道:“这会造成无限的数据包风暴。” “攻击者向受害者引出单个块页面,这会导致受害者发出 RST,这会导致放大器产生新的块页面,从而导致受害者发出 RST,等等。受害者持续的案例对于两个人来说尤其危险原因。 首先,受害者的默认行为维持了对自身的攻击。 其次,这种攻击会导致受害者在淹没下行链路的同时淹没自己的上行链路。”

Akamai 还提供了一个演示,展示了当攻击者针对运行基于 TCP 的服务的特定端口时发生的损害。

“这些指向 TCP 应用程序/服务的 SYN 数据包将导致该应用程序尝试使用多个 SYN+ACK 数据包进行响应,并保持 TCP 会话打开,等待三向握手的其余部分,”Akamai 解释说。 “由于每个 TCP 会话都处于这种半开状态,系统将消耗套接字,这些套接字反过来又会消耗资源,可能会达到资源完全耗尽的程度。”

不幸的是,典型的最终用户无法阻止被利用的 DDoS 放大。 相反,中间盒操作员必须重新配置他们的机器,这在许多情况下是不可能的。 除此之外,网络防御者必须改变他们过滤和响应数据包的方式。 Akamai 和学术研究人员都提供了更详细的说明。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/9272.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
白马号白马号

相关推荐

  • U盘格式化后能恢复数据吗?U盘格式化恢复数据方法

    U盘格式化后能恢复数据吗?U盘格式化恢复数据方法 U盘格式化的原因 格式化后能否恢复数据 U盘格式化后数据恢复方法 注意事项 U盘格式化的原因 U盘是我们日常生活中常用的存储设备,但有时候我们会需要将U盘格式化,常见的原因如下: U盘出现故障,需要重新格式化 U盘存储空间不足,需要重新分区 U盘中存在病毒或恶意软件,需要清除 将U盘用于其他系统或设备,需要重…

    2023-07-15
    00
  • Win10如何查看声卡驱动版本?Win10查看声卡驱动版本的方法

    Win10如何查看声卡驱动版本?Win10查看声卡驱动版本的方法 方法一:使用设备管理器查看声卡驱动版本 方法二:使用系统信息查看声卡驱动版本 方法一:使用设备管理器查看声卡驱动版本 步骤如下: 在电脑桌面上,右键点击“此电脑”图标,选择“管理”。 在打开的“计算机管理”窗口中,选择左侧的“设备管理器”。 在设备管理器中,找到“声音、视频和游戏控制器”选项,…

    2023-07-30
    00
  • NTLite 下载(NTLite 2.3.4.8641 版本 更新下载)

    众所周知,NTLite 是一个方便的工具,可用于创建您自己的自定义 ISO 安装介质。 当您需要同时安装多个系统时,它将为您节省大量时间。 您可以使用它来集成驱动程序、调整、更新或进行您自己的个人设置,这样您下次需要再次使用安装介质时就不必重复了。 或者,如果需要,只需从制作中的 ISO 中删除内容。 下载:NTLite NTLite 2.3.4.8640 …

    2022-03-01
    00
  • 电脑开一天要多少度电不开屏幕?不开显示屏节省用电的方法

    我们都知道,电器只要运行着,就会有一定的耗电量,比如我们平时的冰箱、空调、电视、电脑等等,今天小编便主要针对电脑来讲一讲,很多的朋友可能比较关注的都是电脑一天24小时耗用多少度电,还有因为我们想要自己来计算的话,应该要如何计算呢?还有,很多时候我们的电脑是开着的,但是因为有事走开,这个时候很好将显示屏关掉,还有可能会有其他的能够帮助我们节省用电的方法,我们一…

    2022-07-26
    00
  • 电脑磁盘空间如何清理(计算机磁盘空间不足怎么清理)

    当你正在寻找计算机清理工具时,通常是听说这些实用工具可以通过一些操作来使你的 PC 变得更快。Windows用户在寻找清理工具时无需去任何地方,它们有自己的工具,可以完成大部分清理工作。因为不需要安装任何第三方应用程序,可以免受一些恶意软件的侵害。下面主要分两大部分Windows10和 Windows 7、Windows 8.1。 一、Windows 10 …

    2022-07-18 投稿
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信