Útočníci môžu vyzbrojiť firewally a Middleboxy pre zosilnené DDoS útoky

Nedostatky v implementácii protokolu TCP v midlboxoch a infraštruktúre cenzúry by sa mohli použiť ako vektor na zosilnenie odrazených útokov odmietnutia služby (DoS) proti akémukoľvek cieľu, čím by prekonali mnohé zo súčasných zosilňovacích faktorov založených na UDP.

Podrobne opísala skupina akademikov z University of Maryland a University of Colorado Boulder na sympóziu USENIX Security Symposium, objemové útoky využívajú sieťové midboxy, ktoré nesúlad s TCP – ako sú firewally, systémy na prevenciu narušenia a hlboké pakety. inšpekčné (DPI) boxy — na zosilnenie sieťovej prevádzky so stovkami tisícov IP adries, ktoré ponúkajú zosilňujúce faktory presahujúce tie z DNS, NTP a Memcached.

Výskum, ktorý na konferencii získal ocenenie Distinguished Paper Award, je prvým svojho druhu, ktorý popisuje techniku ​​vykonávania zosilňovacích útokov odrážajúcich DDoS cez protokol TCP zneužívaním nesprávnych konfigurácií middleboxu vo voľnej prírode, čo je metóda, ktorá sa predtým považovala za účinnú pri predchádzaní takýmto útokom. spoofingové útoky.

Útoky s odrazenou amplifikáciou sú typom útokov DoS, pri ktorých protivník využíva nespojovaciu povahu protokolu UDP so sfalšovanými požiadavkami na nesprávne nakonfigurované otvorené servery, aby zaplavil cieľový server alebo sieť záplavou paketov, čo spôsobilo narušenie alebo vykresľovanie servera a jeho okolitá infraštruktúra neprístupná. K tomu zvyčajne dochádza, keď je odozva od zraniteľnej služby väčšia ako sfalšovaná požiadavka, ktorú možno následne využiť na odoslanie tisícok týchto požiadaviek, čím sa výrazne zosilní veľkosť a šírka pásma vyslaná do cieľa.

Zatiaľ čo amplifikácie DoS sú tradične založené na protokole UDP v dôsledku komplikácií vyplývajúcich z trojstranného handshake protokolu TCP na nastavenie pripojenia TCP/IP cez sieť založenú na IP (SYN, SYN+ACK a ACK), výskumníci zistili, že sieťových middleboxov nezodpovedá štandardu TCP a že môžu „odpovedať na sfalšované cenzurované požiadavky veľkými blokovými stránkami, aj keď neexistuje žiadne platné TCP spojenie alebo handshake“, čím sa zariadenia menia na atraktívne ciele pre útoky zosilňujúce DoS.

„Middleboxy často nie sú kompatibilné s protokolom TCP, pretože sa o to pokúšajú mnohé [to] zvládnuť asymetrické smerovanie, kde middlebox môže vidieť iba jeden smer paketov v spojení (napr. klient-server),” uviedli výskumníci. “Táto funkcia ich však otvára k útoku: ak middleboxy vložia obsah založený iba na jednej strane spojenie, útočník môže sfalšovať jednu stranu TCP trojstranného nadviazania spojenia a presvedčiť middlebox, že existuje platné spojenie.”

Inak povedané, mechanizmus závisí od oklamania stredného poľa, aby vložil odpoveď bez dokončenia trojstranného podania ruky, následne ho použil na prístup k zakázanej doméne, ako je pornografia, hazardné hry a stránky na zdieľanie súborov, čo spôsobí, že middlebox odpovie blokovacou stránkou. , ktorá by bola oveľa väčšia ako cenzurované požiadavky, čo by malo za následok zosilnenie.

A čo viac, nielenže tieto zosilnené odpovede pochádzajú prevažne zo stredových boxov, ale časť týchto zariadení na kontrolu siete je národným štátnym cenzúrnym aparátom, čo zdôrazňuje úlohu, ktorú zohráva takáto infraštruktúra pri umožňovaní vládam potlačiť prístup k informáciám v rámci svojich hraníc, a čo je ešte horšie. , umožniť protivníkom použiť sieťové zariadenia na útok na akúkoľvek obeť na internete.

„Infraštruktúra národnej cenzúry sa nachádza u vysokorýchlostných poskytovateľov internetových služieb a je schopná odosielať a vkladať údaje neuveriteľne vysokou šírkou pásma,“ uviedli vedci. “Útočníkovi to umožňuje zosilniť väčšie množstvo prenosu bez obáv zo saturácie zosilňovača. Po druhé, obrovský súbor zdrojových IP adries, ktoré možno použiť na spustenie zosilňovacích útokov, sťažuje obetiam jednoducho zablokovať niekoľko reflektorov. Národný štát cenzori efektívne premenia každú smerovateľnú IP adresu (sic) v rámci svojej krajiny na potenciálny zosilňovač.”

„Middleboxy predstavujú neočakávanú, zatiaľ nevyužitú hrozbu, ktorú by útočníci mohli využiť na spustenie silných DoS útokov,“ dodali vedci. „Ochrana internetu pred týmito hrozbami si bude vyžadovať spoločné úsilie mnohých výrobcov a operátorov middleboxov.“