网络犯罪分子正在利用超过 100,000 台配置错误的服务器来使网站脱机。
去年 8 月,学术 研究人员发现了一种有效的使站点离线的新方法:一组超过 100,000 个强大的错误配置服务器,可以将大量垃圾数据放大到曾经无法想象的规模。 在许多情况下,这些攻击可能会导致无限路由循环,从而导致自我持续的流量泛滥。 现在,内容交付网络 Akamai 表示,攻击者正在利用这些服务器来攻击银行、旅游、游戏、媒体和网络托管行业的网站。
这些服务器(称为中间盒)部署以阻止推送色情、赌博和盗版下载的网站。 服务器未能遵循 传输控制协议 需要 三次握手 包括客户端发送的 SYN 数据包、来自服务器的 SYN+ACK 响应和来自客户端的确认 ACK 数据包——在连接之前成立。
这种握手有助于防止基于 TCP 的应用程序被滥用为放大器,因为 ACK 确认必须来自游戏公司或其他目标,而不是攻击者欺骗目标的 IP 地址。 但考虑到处理非对称路由的需要,其中中间盒可以监控从客户端传递的数据包,但不能监控被审查或阻止的最终目的地,许多此类服务器在设计上放弃了这一要求。
一个隐藏的军火库
去年 8 月,马里兰大学和科罗拉多大学博尔德分校的 研究人员发表的研究 表明,有数十万个中间盒有可能提供一些有史以来最严重的分布式拒绝服务攻击。
几十年来,人们一直使用 DDoS 攻击 来淹没网站,使其流量或计算请求超出他们的处理能力,从而拒绝向合法用户提供服务。 这种攻击类似于过去的恶作剧,将更多的电话导向比萨店,而不是电话线来处理。
为了最大限度地造成损害并节省资源,DDoS 攻击者通常通过放大向量来增加攻击的火力。 放大通过欺骗目标的 IP 地址并在用于解析域名、同步计算机时钟或加速数据库缓存的配置错误的服务器上反弹相对少量的数据来工作。 因为服务器自动发送的响应比请求大几十、几百或几千倍,它压倒了被欺骗的目标。
研究人员表示,他们发现的至少 100,000 个中间盒超过了来自 DNS 服务器(约 54 倍)和网络时间协议服务器(约 556 倍)的放大系数。 研究人员表示,他们发现数百台服务器使用 memcached 以比配置错误的服务器更高的倍数放大流量,memcached 是一种用于加速网站的数据库缓存系统,可以将流量增加惊人的 51,000 倍。
精打细算的日子
研究人员当时表示,他们没有证据表明中间盒 DDoS 放大攻击在野外被积极使用,但预计这只是时间问题。
周二,Akamai 研究人员 报告称 ,这一天已经到来。 Akamai 研究人员表示,在过去一周中,他们检测到了多个 DDoS 攻击,这些攻击完全按照学术研究人员的预测方式使用了中间盒。 攻击的峰值为 11 Gbps 和每秒 150 万个数据包。
相比,这些攻击规模很小 最大的 DDoS 攻击 ,但两个研究团队都预计攻击会变得更大,因为不良行为者开始优化他们的攻击并识别出更多可以被滥用的中间盒(学术研究人员没有发布这些数据来防止它发生)以免被滥用)。
背后的首席研究员凯文·博克 (Kevin Bock) 论文 表示,DDoS 攻击者有很多动机来重现他的团队提出的攻击理论。
“不幸的是,我们并不感到惊讶,”他在得知主动攻击后告诉我。 “我们预计这些攻击在野外进行只是时间问题,因为它们既简单又高效。 也许最糟糕的是,这些攻击是新的。 因此,许多运营商还没有适当的防御措施,这使得它对攻击者更具吸引力。”
其中一个中间盒收到一个带有 33 字节有效载荷的 SYN 数据包,并以 2,156 字节的回复作为响应。 这转化为 65 倍,但放大有可能随着更多的工作而变得更大。
Akamai 研究人员写道:
体积 TCP 攻击以前需要攻击者访问大量机器和大量带宽,这通常是为具有高带宽连接和源欺骗功能或僵尸网络的非常强大的机器保留的竞技场。 这是因为到目前为止,还没有针对 TCP 协议的重大放大攻击; 少量放大是可能的,但与 UDP 替代方案相比,它被认为几乎可以忽略不计,或者至少低于标准且无效。
如果您想将 SYN 泛洪与容量攻击结合起来,您需要将 1:1 的带宽比推送给受害者,通常以填充 SYN 数据包的形式。 随着中间盒放大的到来,这种长期以来对 TCP 攻击的理解不再正确。 现在,从体积的角度来看,攻击者只需要 1/75(在某些情况下)的带宽量,并且由于某些中间盒实现的怪癖,攻击者免费获得 SYN、ACK 或 PSH+ACK 洪水。
无限的数据包风暴和完全的资源枯竭
Akamai 遇到的另一个中间盒因未知原因使用自己的多个 SYN 数据包响应 SYN 数据包。 遵循 TCP 规范的服务器不应该以这种方式响应。 SYN 数据包响应加载了数据。 更糟糕的是,中间盒完全忽略了受害者发送的 RST 数据包,这些数据包应该终止连接。
Bock 的研究团队还发现一些中间盒会在收到 任何 额外的数据包(包括 RST)时做出响应。
学术研究人员在 8 月写道:“这会造成无限的数据包风暴。” “攻击者向受害者引出单个块页面,这会导致受害者发出 RST,这会导致放大器产生新的块页面,从而导致受害者发出 RST,等等。受害者持续的案例对于两个人来说尤其危险原因。 首先,受害者的默认行为维持了对自身的攻击。 其次,这种攻击会导致受害者在淹没下行链路的同时淹没自己的上行链路。”
Akamai 还提供了一个演示,展示了当攻击者针对运行基于 TCP 的服务的特定端口时发生的损害。
“这些指向 TCP 应用程序/服务的 SYN 数据包将导致该应用程序尝试使用多个 SYN+ACK 数据包进行响应,并保持 TCP 会话打开,等待三向握手的其余部分,”Akamai 解释说。 “由于每个 TCP 会话都处于这种半开状态,系统将消耗套接字,这些套接字反过来又会消耗资源,可能会达到资源完全耗尽的程度。”
不幸的是,典型的最终用户无法阻止被利用的 DDoS 放大。 相反,中间盒操作员必须重新配置他们的机器,这在许多情况下是不可能的。 除此之外,网络防御者必须改变他们过滤和响应数据包的方式。 Akamai 和学术研究人员都提供了更详细的说明。
声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/9272.html
微信扫一扫 
支付宝扫一扫 
