Skrevet af Liam Tung, bidragyder
Liam Tung Bidragyder
Liam Tung er en fuldtids freelance teknologijournalist, som skriver for adskillige australske publikationer.
Fuld bio den 2. marts 2022 | Emne: Sikkerhed Hvordan hackere udnytter cyberforsikringer til at tjene flere penge på ransomware-angreb Se nu
Distributed denial of service (DDoS)-angribere bruger en ny teknik til at slå websteder offline ved at målrette mod sårbare 'middleboxes', såsom firewalls, for at forstærke uønsket trafikangreb.
Forstærkningsangreb er ikke noget nyt og har hjulpet angribere til at vælte servere med korte bust af trafik så højt som 3,47 Tbps. Microsoft afbød sidste år angreb i denne skala, som var resultatet af konkurrence mellem online-gaming-spillere.
Men der er et nyt angreb i horisonten. Akamai, et netværksfirma for indholdsdistribution, siger, at det har set en nylig bølge af angreb ved hjælp af “TCP Middlebox Reflection”, med henvisning til transmissionskontrolprotokol (TCP) – en grundlæggende protokol for sikker kommunikation på internettet mellem netværksforbundne maskiner. Angrebene nåede 11 Gbps med 1,5 millioner pakker i sekundet (Mpps), ifølge Akamai.
SE: Cybersikkerhed: Lad os være taktiske (ZDNet-særrapport)
Forstærkningsteknikken blev afsløret i et forskningspapir i august sidste år, som viste, at angribere kunne misbruge mellemkasser såsom firewalls via TCP for at forstørre lammelsesangreb. Artiklen var fra forskere ved University of Maryland og University of Colorado Boulder.
De fleste DDoS-angreb misbruger User Datagram Protocol (UDP) til at forstærke pakkelevering, generelt ved at sende pakker til en server, der svarer med en større pakkestørrelse, som derefter videresendes til angriberens tilsigtede mål.
TCP-angrebet udnytter netværksmellemkasser, der ikke overholder TCP-standarden. Forskerne fandt hundredtusindvis af IP-adresser, der kunne forstærke angreb med over 100 gange ved at bruge firewalls og indholdsfiltreringsenheder.
Så det, der var et teoretisk angreb for bare otte måneder siden, er nu en reel og aktiv trussel.
“Middlebox DDoS-forstærkning er en helt ny type TCP-refleksion/forstærkningsangreb, der er en risiko for internettet. Det er første gang, vi har observeret denne teknik i naturen,” hedder det i en blogindlæg.
Firewalls og lignende middlebox-enheder fra f.eks. Cisco, Fortinet, SonicWall og Palo Alto Networks er nøgleelementer i virksomhedens netværksinfrastruktur. Nogle mellembokse validerer dog ikke TCP-streamtilstande korrekt, når de håndhæver politikker for indholdsfiltrering.
“Disse bokse kan laves til at reagere på out-of-state TCP-pakker. Disse svar inkluderer ofte indhold i deres svar beregnet til at “kapre” klientbrowsere i et forsøg på at forhindre brugere i at komme til det blokerede indhold. Denne ødelagte TCP-implementering kan igen blive misbrugt til at afspejle TCP-trafik, inklusive datastrømme, til DDoS-ofre af angribere,” bemærker Akamai.
Angribere kan misbruge disse felter ved at forfalske kilde-IP-adressen på det påtænkte offer for at dirigere svartrafik fra mellemfelterne.
I TCP bruger forbindelser synkroniseringskontrolflaget (SYN) til at udveksle nøglemeddelelser til et tre-vejs håndtryk. Angriberne misbruger TCP-implementeringen i nogle middelbokse, der får dem til uventet at reagere på SYN-pakkemeddelelser. I nogle tilfælde observerede Akamai, at en enkelt SYN-pakke med en 33-byte nyttelast producerede en 2.156-byte respons, hvilket forstærkede dens størrelse med 6.533 %.
Sikkerhed
CISA, FBI advarer USA om WhisperGate og HermeticWiper malware. Nogle filer bliver muligvis ikke slettet, når du nulstiller en Windows-pc Ukraine eller Rusland? Anonyme hacktivister, ransomware-grupper tager parti Cybersikkerhedsudbrændthed er reel. Og det er et problem for os alle. Sådan sikrer du dit hjemme-/kontornetværk: De bedste DNS-blokkere og firewalls Sikkerheds-tv | Datastyring | CXO | Datacentre