03/03/22
Исследователи в области кибербезопасности выявили тревожную новую тенденцию в DDoS-атаках, направленных на устройства проверки пакетов и фильтрации контента, для достижения огромных уровней усиления в 6533%. С таким уровнем усиления киберпреступники могут запускать катастрофические атаки с ограниченной пропускной способностью/оборудованием.
По словам исследователей в области безопасности из Akamai, новый метод проведения DDoS-атак получил название TCP Middlebox Reflection. Впервые о нем стало известно в августе 2021 года.
Middlebox («промежуточный блок») — сетевое устройство, выполняющее проверку пакетов или фильтрацию содержимого путем мониторинга, фильтрации и преобразования потоков пакетов, которыми обмениваются два интернет-устройства. Промежуточные блоки обрабатывают не только заголовки пакетов, но и их содержимое, поэтому они используются в системах глубокой проверки пакетов (deep packet inspection, DPI).
Идея состоит в том, чтобы использовать уязвимые межсетевые экраны и системы применения политик фильтрации содержимого в промежуточных устройствах путем специально созданной последовательности TCP-пакетов.
Как сообщили аналитики Akamai, реальный SYN-пакет с 33-байтовой полезной нагрузкой вызывал ответ размером 2156 байт, достигая коэффициента усиления в 65 раз.
С каждым отражением добавляется новый шаг усиления, поэтому размер ответа может быстро выйти из-под контроля, и эти атаки могут превзойти по эффективности даже хорошо зарекомендовавшие себя векторы UDP.
Akamai зафиксировала атаки TCP Middlebox Reflection в реальных условиях в кампаниях, нацеленных на банковские услуги, компании в сфере путешествий, видеоигр, массовой информации и поставщиков услуг web-хостинга.
В качестве защитных мер Akamai предлагает:
- Рассматривать все SYN-пакеты длиной более 0 байт как подозрительные.
- Внедрить SYN-вызовы, чтобы саботировать рукопожатие и отбрасывать потоки вредоносных данных до того, как они достигнут приложений и серверов.
- Использовать комбинацию модулей защиты от спуфинга и защиты от нештатных ситуаций.
- Добавить ACL (правила) межсетевого экрана, чтобы отбрасывать пакеты SYN длиной более 100.
