Распределенные атаки типа «отказ в обслуживании» (DDoS), использующие новую технику усиления под названием «TCP Middlebox Reflection», были впервые обнаружены в реальности спустя шесть месяцев после того, как новый механизм атаки описан в теории.
«Атака использует уязвимые брандмауэры и системы фильтрации контента для отражения и усиления TCP-трафика на машину жертвы, создавая мощную DDoS-атаку» - сообщили исследователи Akamai в отчете, опубликованном во вторник.
«Этот тип атаки опасно снижает планку для проведения DDoS-атак, поскольку атакующему требуется всего лишь 1/75 часть (в некоторых случаях) пропускной способности с точки зрения объема» - добавили исследователи.
Распределенный отраженный отказ в обслуживании (DRDoS) - это форма DDoS, которая использует общедоступные UDP-серверы и коэффициенты усиления полосы пропускания, чтобы перегрузить систему жертвы большим количеством UDP-ответов.
При таких атаках противник посылает поток DNS- или NTP-запросов с поддельным IP-адресом источника на целевой ресурс, заставляя сервер назначения доставлять ответы обратно на узел, проживающий по поддельному адресу, усиленным способом, который исчерпывает полосу пропускания, выделенную для цели.
Новая атака появилась после публикации в августе 2021 года академического исследования о новом векторе атаки, который использует слабые места в реализации протокола TCP в промежуточных устройствах и инфраструктуре цензуры для проведения отраженных DoS-атак.
В то время как DoS-атаки с усилением традиционно используют векторы отражения UDP - из-за отсутствия соединения в протоколе - нетрадиционная техника атаки использует преимущества несоответствия TCP в промежуточных устройствах, таких как инструменты глубокой проверки пакетов (DPI), для организации отраженных DoS-атак на основе пакетов TCP.
Первая волна «заметных» атак с использованием этой техники, как сообщается, произошла около 17 февраля, поразив клиентов Akamai из банковской, туристической, игровой, медиа и веб-хостинговой отраслей большим объемом трафика, пиковая скорость которого достигала 11 Гбит/с при 1,5 миллионах пакетов в секунду.
«Тактика использовалась как в одиночку, так и в составе многовекторных кампаний, причем масштабы атак постепенно увеличивались» - сообщил The Hacker News Чад Симан, руководитель исследовательской группы по анализу безопасности компании Akamai.
Основная идея отраженной атаки на основе TCP заключается в использовании промежуточных узлов, которые используются для обеспечения соблюдения законов о цензуре и корпоративных политик фильтрации контента, путем отправки специально созданных TCP-пакетов, чтобы вызвать объемный ответ.
Действительно, в одной из атак, замеченных компанией, занимающейся облачной безопасностью, один SYN-пакет с полезной нагрузкой в 33 байта вызвал ответную реакцию в 2 156 байт, что позволило достичь коэффициента усиления в 65 раз (6 533%).
«Главный вывод заключается в том, что новый вектор начинает использоваться в реальных условиях» - сказал Симан. «Как правило, это сигнал о том, что по мере распространения информации и роста популярности DDoS-атак, а также по мере того, как злоумышленники начинают создавать инструменты для использования нового вектора, вероятно, последует его более широкое применение».
«Защитники должны знать, что мы перешли от теории к практике, и им следует пересмотреть свои защитные стратегии в соответствии с этим новым вектором, который они могут вскоре увидеть в реальном мире» - добавил Шейман.
Источник: https://is-systems.org
