Контакты
Подписка 2025
Новости
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Устройства фильтрации контента могут использоваться для 65-кратного усиления DDoS-атак

03/03/22

DDoS atackИсследователи в области кибербезопасности выявили тревожную новую тенденцию в DDoS-атаках, направленных на устройства проверки пакетов и фильтрации контента, для достижения огромных уровней усиления в 6533%. С таким уровнем усиления киберпреступники могут запускать катастрофические атаки с ограниченной пропускной способностью/оборудованием.

По словам исследователей в области безопасности из Akamai, новый метод проведения DDoS-атак получил название TCP Middlebox Reflection. Впервые о нем стало известно в августе 2021 года.

Middlebox («промежуточный блок») — сетевое устройство, выполняющее проверку пакетов или фильтрацию содержимого путем мониторинга, фильтрации и преобразования потоков пакетов, которыми обмениваются два интернет-устройства. Промежуточные блоки обрабатывают не только заголовки пакетов, но и их содержимое, поэтому они используются в системах глубокой проверки пакетов (deep packet inspection, DPI).

Идея состоит в том, чтобы использовать уязвимые межсетевые экраны и системы применения политик фильтрации содержимого в промежуточных устройствах путем специально созданной последовательности TCP-пакетов.

Как сообщили аналитики Akamai, реальный SYN-пакет с 33-байтовой полезной нагрузкой вызывал ответ размером 2156 байт, достигая коэффициента усиления в 65 раз.

С каждым отражением добавляется новый шаг усиления, поэтому размер ответа может быстро выйти из-под контроля, и эти атаки могут превзойти по эффективности даже хорошо зарекомендовавшие себя векторы UDP.

Akamai зафиксировала атаки TCP Middlebox Reflection в реальных условиях в кампаниях, нацеленных на банковские услуги, компании в сфере путешествий, видеоигр, массовой информации и поставщиков услуг web-хостинга.

В качестве защитных мер Akamai предлагает:

  • Рассматривать все SYN-пакеты длиной более 0 байт как подозрительные.
  • Внедрить SYN-вызовы, чтобы саботировать рукопожатие и отбрасывать потоки вредоносных данных до того, как они достигнут приложений и серверов.
  • Использовать комбинацию модулей защиты от спуфинга и защиты от нештатных ситуаций.
  • Добавить ACL (правила) межсетевого экрана, чтобы отбрасывать пакеты SYN длиной более 100.
Темы:КиберзащитаУгрозыDDoS-атакиAkamai
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Зондирующие DDoS-атаки как новая стратегия
    В один из майских дней 2025 г. трафик на фронтенде обычного онлайн-сервиса неожиданно подскочил. Не катастрофически – лишь на считаные проценты. Появились всплески HTTP-запросов, чуть увеличилась задержка, возникли пара тревожных алертов о росте RPS. Потом все утихло. Обычная перегрузка? Фоновая активность? Или просто каприз трафика? Через неделю сервис лег, но уже не на минуту и не на десять: часы простоя, срыв SLA, гнев пользователей, экстренный брифинг с руководством. SOC с опозданием сопоставил события: перед атакой была "репетиция", но сигнал был слишком слабым, чтобы его услышали.
  • Российское решение MULTIFACTOR: повышаем иммунитет среды идентификации и доступа
    Виктор Чащин, операционный директор ООО “МУЛЬТИФАКТОР”
    Система мультифакторной аутентификации (MFA) является одним из ключевых элементов реализации концепции иммунитета среды идентификации и доступа (IAC).
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • КиберНЕустойчивость и как с ней бороться
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Определение показателей операционной надежности для технологических процессов
  • Киберучения и киберполигоны для безопасности КИИ
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Перед специалистами по информационной безопасности остро встает вопрос проведения мероприятий, направленных на повышение осведомленности работников субъекта КИИ, – киберучений
  • Облачные решения и кибершеринг для расширения концепции SecaaS
    Александр Голубчиков, руководитель по продуктам кибербезопасности, МегаФон
    Могут ли стать решением внешние сервисы даже на фоне априорного недоверия к ним со стороны заказчиков?

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности