去年8月,一群研究人员发布了《让中间设备成为TCP反射攻击的武器》(Weaponizing Middleboxes for TCP Reflected Amplification)研究报告,指出诸如防火墙中内容过滤系统等中间设备,可能会被用来进行TCP反射攻击,而安全企业Akamai今年就看到了许多真实的攻击案例,而该新兴的分布式服务阻断攻击(DDoS)形态最多将可放大75倍的攻击流量。
中间设备指的是放置于通信两端之间的设备,最常见的是防火墙与内容过滤系统,研究人员发现某些中间设备在执行内容过滤政策时,并未考虑TCP流媒体状态,代表这些设备可回应状态外的TCP封包,相关的回应包含避免用户访问被封锁的内容,进而造成DDoS攻击,有些设备的放大能量甚至超越UDP洪水攻击,估计全球存在着数十万台可能遭到滥用的中间设备。
利用中间设备进行DDoS放大攻击原本只是理论,但Akamai今年就已看到实际的攻击行动,受害者遍布金融、旅游、游戏、媒体到网络托管等产业。
Akamai指出,黑客可以伪装成受害者的IP,发送包含遭封锁之HTTP请求标题的各种TCP封包,中间设备收到这些封包之后便会产生回应,在其中一个攻击案例中,黑客只发送了一个33位元酬载的封包,就触发了2,156位元的回应,放大率为65倍。
过去黑客要执行体积型的TCP DDoS攻击必须先访问大量的机器与带宽,但借道中间设备却只需要很小的攻击力道,就能获得数十倍的攻击成效,降低了攻击门槛。
目前Akamai所观察到的中间设备DDoS放大攻击的案例并不多,攻击力道也不大,不过,最早利用该技术的巅峰攻击流量只有50Mbps,而最近一次的攻击流量便已增长到11Gbps,显示黑客正在逐步测试与扩大攻击能量。
研究人员则于报告中警告,防御中间设备攻击并不容易,由于中间设备可接受假冒的地址,使得黑客得以冒充任何位于中间设备之后的IP地址展开攻击,若受害者规模不大,可能只有少数IP受到影响,但若受害者是个国家的监控系统,那么该国境内的任何IP都有可能遭到此类的DDoS反射攻击。