olarak adlandırılan yeni bir amplifikasyon tekniğinden yararlanan dağıtılmış hizmet reddi (DDoS) saldırıları TCP Orta Kutu Yansıması Yeni saldırı mekanizması teoride sunulduktan altı ay sonra vahşi doğada ilk kez tespit edildi.
“Saldırı […] TCP trafiğini kurban bir makineye yansıtmak ve güçlendirmek için savunmasız güvenlik duvarlarını ve içerik filtreleme sistemlerini kötüye kullanır ve güçlü bir DDoS saldırısı oluşturur”, Akamai araştırmacıları dedim Salı günü yayınlanan bir raporda.
Araştırmacılar, “Bu tür bir saldırı, DDoS saldırıları için çıtayı tehlikeli bir şekilde düşürür, çünkü saldırgan hacimsel açıdan 1/75’e (bazı durumlarda) bant genişliği miktarına ihtiyaç duyar.”
Dağıtılmış yansıtıcı hizmet reddi (DRDoS), bir kurbanın sistemini yüksek hacimli UDP yanıtlarıyla bunaltmak için herkesin erişebileceği UDP sunucularına ve bant genişliği yükseltme faktörlerine (BAF’ler) dayanan bir dağıtılmış hizmet reddi (DDoS) saldırısıdır.
Bu saldırılarda, düşman, hedeflenen varlığa sahte bir kaynak IP adresi içeren bir DNS veya NTP istekleri seli gönderir ve hedef sunucunun yanıtları sahte adreste bulunan ana bilgisayara bant genişliğini tüketen güçlendirilmiş bir şekilde geri göndermesine neden olur. hedefe verilir.
Geliştirme, Ağustos 2021’de TCP protokolünün uygulanmasındaki zayıflıklardan yararlanan yeni bir saldırı vektörü hakkında yayınlanan bir akademik çalışmanın ardından geliyor. orta kutular ve hedeflere yönelik yansıyan hizmet reddi (DoS) güçlendirme saldırılarını sahnelemek için sansür altyapısı.
DoS yükseltme saldırıları, protokolün bağlantısız doğası nedeniyle geleneksel olarak UDP yansıma vektörlerini kötüye kullansa da, yeni saldırı tekniği, derin paket incelemesi gibi orta kutularda TCP uyumsuzluğundan yararlanır (DPI) TCP tabanlı yansıtıcı amplifikasyon saldırılarını sahnelemek için araçlar.
Tekniğin avantajlarından yararlanan “farkedilebilir” saldırı kampanyalarının ilk dalgasının 17 Şubat civarında gerçekleştiği ve Akamai müşterilerini bankacılık, seyahat, oyun, medya ve web barındırma sektörlerinde 11 Gbps’de zirveye ulaşan yüksek miktarda trafiğe sahip olduğu söyleniyor. Saniyede 1,5 milyon paket (Mpps).
Akamai’deki güvenlik istihbarat araştırma ekibinin (SIRT) lideri Chad Seaman, The Hacker News’e verdiği demeçte, “Vektörün tek başına ve çok vektörlü kampanyaların bir parçası olarak kullanıldığı ve saldırıların boyutlarının yavaş yavaş arttığı görüldü” dedi.
TCP tabanlı yansıma ile temel fikir, hacimsel bir yanıtı tetiklemek için özel hazırlanmış TCP paketleri göndererek sansür yasalarını ve kurumsal içerik filtreleme politikalarını uygulamak için kullanılan orta kutulardan yararlanmaktır.
Gerçekten de, bulut güvenlik şirketi tarafından gözlemlenen saldırılardan birinde, 33 baytlık bir yüke sahip tek bir SYN paketi 2.156 baytlık bir yanıtı tetikleyerek etkin bir şekilde 65x’lik (%6.533) bir amplifikasyon faktörü elde etti.
Seaman, “Ana paket servisi, yeni vektörün vahşi doğada gerçek dünya suistimalini görmeye başlamasıdır.” Dedi. “Tipik olarak bu, DDoS ortamında bilgi ve popülerlik arttıkça ve daha fazla saldırganın yeni vektörden yararlanmak için araçlar oluşturmaya başlamasıyla belirli bir vektörün daha yaygın olarak kötüye kullanılmasının muhtemel olduğunun bir işaretidir.”
Seaman, “Savunucuların teoriden pratiğe geçtiğimizin farkında olmaları ve savunma stratejilerini, yakında gerçek dünyada görecekleri bu yeni vektöre göre gözden geçirmeleri gerekiyor.”