Усиление DDoS в 1000 раз

Коротко:

Через страны, модерирующие контент, получаемый своими гражданами, например: Китай, Россия, Иран и прочие, возможно проводить DDOS атаки с невиданным ранее коэффициентом усиления, что положит любую известную на сегодня, даже самую защищенную систему. Для реализации необходимы скиллы.

adPlace

Исследователи из Мэрилендского университета и Университета Колорадо в Боулдере, представили интересный документ, который по сути обозначил новый вектор DDoS-атак, способных гарантированно положить любую цель.

Вновь обнаруженная техника DDoS позволяет добиться коэффициента усиления 1000x и более путём злоупотребления протоколом TCP, а для ее проведения задействуются миддлбоксы: брандмауэры, трансляторы сетевых адресов (NAT), балансировщики нагрузки и системы глубокой проверки пакетов (DPI).

Новая форма рефлекторной DDoS на основе TCP гораздо более разрушительна, нежели традиционные атаки с использованием UDP (SNMP, DNS, NetBIOS, CoAP и NTP), которые имеют коэффициент усиления от 2 до 10, крайне редко – до 100.

Исторически сложилось так, что для усиления DDoS операторы бот-сети применяли технику IP-спуфинга, позволяющую генерировать полезную нагрузку с промежуточного сервера, работающего на протоколе UDP, реализующего простой двухэтапный процесс запроса и ответа.

TCP-соединения всегда начинались с трехстороннего рукопожатия и до настоящего времени никому не удавалось реализовать IP-спуфинг, так как хакеры не могли завершить рукопожатие.

Но такой способ нашёлся.
Виной всему миддлбоксы, предназначенные для контроля сетевого трафика.

Оказывается, что вместо того, чтобы пытаться воспроизвести трехстороннее рукопожатие в TCP-соединении, можно отправить комбинацию нестандартных последовательностей пакетов в промежуточный ящик для эмуляции завершения TCP-пожатия, позволяя обработать соединение.

В обычных условиях аномалии не произойдёт, однако если попытаться получить доступ к запрещенному веб-сайту, отправляя неправильно сформированную последовательность TCP-пакетов в медианную коробку (брандмауэр, ящик DPI и т. д.), то средний ящик обязан ответить «блокирующей страницей», HTML которой он будет отправлять жертвам, которые даже могут не находиться в их внутренних сетях, благодаря IP-спуфингу. При этом ответ содержит гораздо больший объём, чем первоначальные пакеты, что создаёт гигантский эффект усиления.

Как выяснили ученные, лучший эффект усиления TCP DDoS создают ресурсы, заблокированные национальными системами цензуры. Из всех возможных узлов, они выделили 5 доменов, которые будут надежным «триггером» для этих атак (поскольку получают ответы от большинства промежутких ящиков в Интернете): youporn.com, roxypalace.com, plus.google.com, bittorrent.com, survive.org.uk.

Однако коэффициенты усиления варьируются в зависимости от типа устройства middlebox, поставщика, конфигураций и настройки сети. В результате скандирования всей сети по IPv4 исследователям удалось найти 200 миллионов IP-адресов ящиков, которыми можно злоупотреблять для TCP DDoS-атак, при этом тысячи из них реализуют коэффициенты в диапазоне 1000 – 100 000 000, что настоящее время считается немыслимым для таких атак.

Самое интересное, что такие устройства чаще всего используются в государственных системах Интернет-цензуры, прежде всего, в Китае, Саудовской Аравии, России и Великобритании.

Многие из этих систем работают с огромными нагрузками трафика и неправильно настроенными циклами трафика, которые отправляют один и тот же неправильно сформированный TCP-пакет несколько раз через одни и те же или другие промежуточные ящики, эффективно позволяя совершать атаки DDoS бесконечных циклов. Как отмечено в исследовании – это наиболее характерно для России и КНР.

Выводы:

  • исследование позволяет воспроизвести вектор любому хакеру, обладающему скилами;
  • вектор атаки скорее всего не будет исправлен в принципе;
  • исправления для уязвимых систем ослабляет их возможности фильтрации трафика;
  • исправление конфигураций middlebox требует значительных вложений и времени;
  • мировая инфраструктура столкнётся с новыми атаками уже в самом ближайшем будущем.

DDoS возвращает себе утраченное со временем место в хакерской индустрии, и может стать куда серьёзной угрозой, чем злободневный ransomware.

Ссылка на файл прилагается