Các cuộc tấn công từ chối dịch vụ (DDoS) phân tán sử dụng một kỹ thuật khuếch đại mới gọi là TCP Middlebox Reflection đã được phát hiện lần đầu tiên trong tự nhiên, sáu tháng sau khi cơ chế tấn công mới được trình bày trên lý thuyết.
“Cuộc tấn công […] lạm dụng tường lửa dễ bị tấn công và hệ thống lọc nội dung để phản ánh và khuếch đại lưu lượng TCP tới máy nạn nhân, tạo ra một cuộc tấn công DDoS mạnh mẽ “, các nhà nghiên cứu Akamai cho biết trong một báo cáo được công bố hôm thứ Ba.
Các nhà nghiên cứu cho biết thêm: “Kiểu tấn công này làm hạ thấp nguy cơ đối với các cuộc tấn công DDoS, vì kẻ tấn công cần lượng băng thông ít nhất là 1/5 (trong một số trường hợp) theo quan điểm thể tích”.
Từ chối dịch vụ phản chiếu phân tán (DRDoS) là một dạng tấn công từ chối dịch vụ phân tán (DDoS) dựa vào các máy chủ UDP có thể truy cập công khai và các yếu tố khuếch đại băng thông (BAF) để áp đảo hệ thống của nạn nhân với lượng UDP lớn. phản hồi.
Trong các cuộc tấn công này, kẻ thù gửi một loạt các yêu cầu DNS hoặc NTP có chứa địa chỉ IP nguồn giả mạo đến nội dung được nhắm mục tiêu, khiến máy chủ đích gửi phản hồi trở lại máy chủ lưu trữ tại địa chỉ giả mạo theo cách khuếch đại làm cạn kiệt băng thông cấp cho mục tiêu.
Sự phát triển này diễn ra sau một nghiên cứu học thuật được công bố vào tháng 8 năm 2021 về một vectơ tấn công mới khai thác các điểm yếu trong việc triển khai giao thức TCP trong các hộp trung gian và cơ sở hạ tầng kiểm duyệt để thực hiện các cuộc tấn công khuếch đại từ chối dịch vụ (DoS) chống lại các mục tiêu.
Mặc dù các cuộc tấn công khuếch đại DoS đã lạm dụng các vectơ phản xạ UDP theo truyền thống – do bản chất không có kết nối của giao thức – kỹ thuật tấn công độc đáo này lợi dụng việc không tuân thủ TCP trong các hộp trung gian, chẳng hạn như các công cụ kiểm tra gói sâu (DPI) để thực hiện các cuộc tấn công khuếch đại phản xạ dựa trên TCP .
Làn sóng đầu tiên của các chiến dịch tấn công “đáng chú ý” lợi dụng kỹ thuật này được cho là đã xảy ra vào khoảng ngày 17 tháng 2, tấn công các khách hàng của Akamai trong các ngành ngân hàng, du lịch, trò chơi, truyền thông và lưu trữ web với lượng truy cập cao, đạt đỉnh 11 Gbps tại 1,5 triệu gói mỗi giây (Mpps).
Chad Seaman, trưởng nhóm nghiên cứu tình báo an ninh (SIRT) tại Akamai, nói với The Hacker News: “Vector đã được sử dụng đơn lẻ và là một phần của các chiến dịch đa vector, với quy mô của các cuộc tấn công đang tăng dần.
Ý tưởng cốt lõi với sự phản ánh dựa trên TCP là tận dụng các hộp trung gian được sử dụng để thực thi luật kiểm duyệt và chính sách lọc nội dung doanh nghiệp bằng cách gửi các gói TCP được chế tạo đặc biệt để kích hoạt phản hồi khối lượng.
Thật vậy, trong một trong những cuộc tấn công được quan sát bởi công ty bảo mật đám mây, một gói SYN duy nhất với trọng tải 33 byte đã kích hoạt phản hồi 2,156 byte, đạt hiệu quả hệ số khuếch đại là 65x (6,533%).
Seaman nói: “Bài học kinh nghiệm chính là vector mới đang bắt đầu chứng kiến sự lạm dụng trong thế giới thực trong tự nhiên. “Thông thường, đây là một tín hiệu cho thấy việc lạm dụng rộng rãi hơn một vectơ cụ thể có khả năng xảy ra khi kiến thức và mức độ phổ biến ngày càng tăng trên toàn cảnh DDoS và nhiều kẻ tấn công bắt đầu tạo ra công cụ để tận dụng vectơ mới.”
Seaman nói thêm: “Các hậu vệ cần lưu ý rằng chúng tôi đã chuyển từ lý thuyết sang thực hành và họ nên xem xét lại các chiến lược phòng thủ của mình phù hợp với véc tơ mới này, mà họ có thể sẽ sớm thấy trong thế giới thực”.
.
