Ящик Пандоры открыли исследователи из
Мэрилендского университета и
Университета Колорадо в Боулдере, представив новый вектор
DDoS-атак, способных гарантированно положить любую цель в сети.
Вновь обнаруженная техника
DDoS позволяет добиться коэффициента усиления
1000x и более путём злоупотребления протоколом
TCP, а для ее проведения задействуются
миддлбоксы: брандмауэры, трансляторы сетевых адресов (
NAT), балансировщики нагрузки и системы глубокой проверки пакетов (
DPI).
Новая форма рефлекторной
DDoS на основе
TCP гораздо более разрушительна, нежели традиционные атаки с использованием
UDP (SNMP, DNS, NetBIOS, CoAP и NTP), которые имеют коэффициент усиления
от 2 до 10, крайне редко - до
100.Исторически сложилось так, что для усиления
DDoS операторы бот-сети применяли технику IP-спуфинга, позволяющую генерировать полезную нагрузку с промежуточного сервера, работающего на протоколе
UDP, реализующего простой двухэтапный процесс запроса и ответа.
TCP-соединения всегда начинались с трехстороннего рукопожатия и до настоящего времени никому не удавалось реализовать IP-спуфинг, так как хакеры не могли завершить рукопожатие.
Но такой способ нашёлся.
Виной всему
миддлбоксы, предназначенные для контроля сетевого трафика.
Оказывается, что вместо того, чтобы пытаться воспроизвести трехстороннее рукопожатие в TCP-соединении, можно отправить комбинацию нестандартных последовательностей пакетов в промежуточный ящик для эмуляции завершения TCP-пожатия, позволяя обработать соединение.
В обычных условиях аномалии не произойдёт, однако если попытаться получить доступ к запрещенному веб-сайту, отправляя неправильно сформированную последовательность TCP-пакетов в медианную коробку (брандмауэр, ящик DPI и т. д.), то средний ящик обязан ответить «блокирующей страницей»,
HTML которой он будет отправлять жертвам, которые даже могут не находиться в их внутренних сетях, благодаря
IP-спуфингу. При этом ответ содержит гораздо больший объём, чем первоначальные пакеты, что создаёт гигантский эффект усиления.
Как выяснили ученные, лучший эффект усиления
TCP DDoS создают ресурсы, заблокированные национальными системами цензуры. Из всех возможных узлов, они выделили
5 доменов, которые будут надежным «триггером» для этих атак (поскольку получают ответы от большинства промежутких ящиков в Интернете):
youporn.com, roxypalace.com, plus.google.com, bittorrent.com, survive.org.uk.youporn.com,
roxypalace.com,
plus.google.com,
bittorrent.com,
survive.org.uk.
Однако коэффициенты усиления варьируются в зависимости от типа устройства
middlebox, поставщика, конфигураций и настройки сети. В результате скандирования всей сети по
IPv4 исследователям удалось найти
200 миллионов IP-адресов ящиков, которыми можно злоупотреблять для
TCP DDoS-атак, при этом тысячи из них реализуют коэффициенты в диапазоне
1000 - 100 000 000, что настоящее время считается немыслимым для таких атак.
Самое интересное, что такие устройства чаще всего используются в государственных системах Интернет-цензуры, прежде всего, в
Китае, Саудовской Аравии, России и Великобритании.Многие из этих систем работают с огромными нагрузками трафика и неправильно настроенными циклами трафика, которые отправляют один и тот же неправильно сформированный TCP-пакет несколько раз через одни и те же или другие промежуточные ящики, эффективно позволяя совершать атаки
DDoS бесконечных циклов. Как отмечено в исследовании - это наиболее характерно для
России и КНР.А теперь неутешительные выводы:
- исследование позволяет воспроизвести вектор любому хакеру, обладающему скилами;
- вектор атаки скорее всего не будет исправлен в принципе;
- исправления для уязвимых систем ослабляет их возможности фильтрации трафика;
- исправление конфигураций
middlebox требует значительных вложений и времени;
- мировая инфраструктура столкнётся с новыми атаками уже в самом ближайшем будущем.
Похоже, что старый добрый
DDoS похоже скоро вернёт себе утраченное со временем место в хакерской индустрии, и может стать куда серьёзной угрозой, чем злободневный
ransomware.
