├Üto─Źn├şci m├┤┼żu vyzbroji┼ą firewally a Middleboxy pre zosilnen├ę DDoS ├║toky

├Üto─Źn├şci m├┤┼żu vyzbroji┼ą firewally a Middleboxy pre zosilnen├ę DDoS ├║toky 2

Nedostatky v implement├ícii protokolu TCP v midlboxoch a infra┼ítrukt├║re cenz├║ry by sa mohli pou┼żi┼ą ako vektor na zosilnenie odrazen├Żch ├║tokov odmietnutia slu┼żby (DoS) proti ak├ęmuko─żvek cie─żu, ─Ź├şm by prekonali mnoh├ę zo s├║─Źasn├Żch zosil┼łovac├şch faktorov zalo┼żen├Żch na UDP.

Podrobne op├şsala skupina akademikov z University of Maryland a University of Colorado Boulder na symp├│ziu USENIX Security Symposium, objemov├ę ├║toky vyu┼ż├şvaj├║ sie┼ąov├ę midboxy, ktor├ę nes├║lad s TCP ÔÇô ako s├║ firewally, syst├ęmy na prevenciu naru┼íenia a hlbok├ę pakety. in┼ípek─Źn├ę (DPI) boxy ÔÇö na zosilnenie sie┼ąovej prev├ídzky so stovkami tis├şcov IP adries, ktor├ę pon├║kaj├║ zosil┼łuj├║ce faktory presahuj├║ce tie z DNS, NTP a Memcached.

V├Żskum, ktor├Ż na konferencii z├şskal ocenenie Distinguished Paper Award, je prv├Żm svojho druhu, ktor├Ż popisuje techniku ÔÇőÔÇővykon├ívania zosil┼łovac├şch ├║tokov odr├í┼żaj├║cich DDoS cez protokol TCP zneu┼ż├şvan├şm nespr├ívnych konfigur├íci├ş middleboxu vo vo─żnej pr├şrode, ─Źo je met├│da, ktor├í sa predt├Żm pova┼żovala za ├║─Źinn├║ pri predch├ídzan├ş tak├Żmto ├║tokom. spoofingov├ę ├║toky.

├Ütoky s odrazenou amplifik├íciou s├║ typom ├║tokov DoS, pri ktor├Żch protivn├şk vyu┼ż├şva nespojovaciu povahu protokolu UDP so sfal┼íovan├Żmi po┼żiadavkami na nespr├ívne nakonfigurovan├ę otvoren├ę servery, aby zaplavil cie─żov├Ż server alebo sie┼ą z├íplavou paketov, ─Źo sp├┤sobilo naru┼íenie alebo vykres─żovanie servera a jeho okolit├í infra┼ítrukt├║ra nepr├şstupn├í. K tomu zvy─Źajne doch├ídza, ke─Ć je odozva od zranite─żnej slu┼żby v├Ą─Ź┼íia ako sfal┼íovan├í po┼żiadavka, ktor├║ mo┼żno n├ísledne vyu┼żi┼ą na odoslanie tis├şcok t├Żchto po┼żiadaviek, ─Ź├şm sa v├Żrazne zosiln├ş ve─żkos┼ą a ┼í├şrka p├ísma vyslan├í do cie─ża.

Zatia─ż ─Źo amplifik├ície DoS s├║ tradi─Źne zalo┼żen├ę na protokole UDP v d├┤sledku komplik├íci├ş vypl├Żvaj├║cich z trojstrann├ęho handshake protokolu TCP na nastavenie pripojenia TCP/IP cez sie┼ą zalo┼żen├║ na IP (SYN, SYN+ACK a ACK), v├Żskumn├şci zistili, ┼że sie┼ąov├Żch middleboxov nezodpoved├í ┼ítandardu TCP a ┼że m├┤┼żu ÔÇ×odpoveda┼ą na sfal┼íovan├ę cenzurovan├ę po┼żiadavky ve─żk├Żmi blokov├Żmi str├ínkami, aj ke─Ć neexistuje ┼żiadne platn├ę TCP spojenie alebo handshakeÔÇť, ─Ź├şm sa zariadenia menia na atrakt├şvne ciele pre ├║toky zosil┼łuj├║ce DoS.

ÔÇ×Middleboxy ─Źasto nie s├║ kompatibiln├ę s protokolom TCP, preto┼że sa o to pok├║┼íaj├║ mnoh├ę [to] zvl├ídnu┼ą asymetrick├ę smerovanie, kde middlebox m├┤┼że vidie┼ą iba jeden smer paketov v spojen├ş (napr. klient-server),” uviedli v├Żskumn├şci. “T├íto funkcia ich v┼íak otv├íra k ├║toku: ak middleboxy vlo┼żia obsah zalo┼żen├Ż iba na jednej strane spojenie, ├║to─Źn├şk m├┤┼że sfal┼íova┼ą jednu stranu TCP trojstrann├ęho nadviazania spojenia a presved─Źi┼ą middlebox, ┼że existuje platn├ę spojenie.”

Inak povedan├ę, mechanizmus z├ívis├ş od oklamania stredn├ęho po─ża, aby vlo┼żil odpove─Ć bez dokon─Źenia trojstrann├ęho podania ruky, n├ísledne ho pou┼żil na pr├şstup k zak├ízanej dom├ęne, ako je pornografia, hazardn├ę hry a str├ínky na zdie─żanie s├║borov, ─Źo sp├┤sob├ş, ┼że middlebox odpovie blokovacou str├ínkou. , ktor├í by bola ove─ża v├Ą─Ź┼íia ako cenzurovan├ę po┼żiadavky, ─Źo by malo za n├ísledok zosilnenie.

A ─Źo viac, nielen┼że tieto zosilnen├ę odpovede poch├ídzaj├║ preva┼żne zo stredov├Żch boxov, ale ─Źas┼ą t├Żchto zariaden├ş na kontrolu siete je n├írodn├Żm ┼ít├ítnym cenz├║rnym apar├ítom, ─Źo zd├┤raz┼łuje ├║lohu, ktor├║ zohr├íva tak├íto infra┼ítrukt├║ra pri umo┼ż┼łovan├ş vl├ídam potla─Źi┼ą pr├şstup k inform├íci├ím v r├ímci svojich hran├şc, a ─Źo je e┼íte hor┼íie. , umo┼żni┼ą protivn├şkom pou┼żi┼ą sie┼ąov├ę zariadenia na ├║tok na ak├║ko─żvek obe┼ą na internete.

ÔÇ×Infra┼ítrukt├║ra n├írodnej cenz├║ry sa nach├ídza u vysokor├Żchlostn├Żch poskytovate─żov internetov├Żch slu┼żieb a je schopn├í odosiela┼ą a vklada┼ą ├║daje neuverite─żne vysokou ┼í├şrkou p├ísma,ÔÇť uviedli vedci. “├Üto─Źn├şkovi to umo┼ż┼łuje zosilni┼ą v├Ą─Ź┼íie mno┼żstvo prenosu bez ob├ív zo satur├ície zosil┼łova─Źa. Po druh├ę, obrovsk├Ż s├║bor zdrojov├Żch IP adries, ktor├ę mo┼żno pou┼żi┼ą na spustenie zosil┼łovac├şch ├║tokov, s┼ąa┼żuje obetiam jednoducho zablokova┼ą nieko─żko reflektorov. N├írodn├Ż ┼ít├ít cenzori efekt├şvne premenia ka┼żd├║ smerovate─żn├║ IP adresu (sic) v r├ímci svojej krajiny na potenci├ílny zosil┼łova─Ź.”

ÔÇ×Middleboxy predstavuj├║ neo─Źak├ívan├║, zatia─ż nevyu┼żit├║ hrozbu, ktor├║ by ├║to─Źn├şci mohli vyu┼żi┼ą na spustenie siln├Żch DoS ├║tokov,ÔÇť dodali vedci. ÔÇ×Ochrana internetu pred t├Żmito hrozbami si bude vy┼żadova┼ą spolo─Źn├ę ├║silie mnoh├Żch v├Żrobcov a oper├ítorov middleboxov.ÔÇť

Related Articles

Back to top button