Araştırmacılar,% 6,533 artış seviyesini elde etmek için paket denetimini ve içerik filtreleme cihazlarını hedefleyen DDOS saldırılarında endişe verici bir yeni eğilim belirlemiştir. Böyle bir amplifikasyon seviyesiyle, tehdit aktörleri sınırlı bant genişliği / ekipmanına sahip yıkıcı saldırıları başlatabilir.
DDOS (Dağıtılmış Servis Reddi) Saldırıları, sunucuları veya kurumsal ağı, sunucular ve kurumlar gibi çok sayıda sahte istek veya çok yüksek miktarda çöp verisi olan sıkma gibi ağ cihazları tarafından aşağı çekmek için kullanılır.
Cihaz boğulduğunda, artık meşru trafiği kabul etmeyebilir ve böylece doğru çalışamaz. DDOS saldırıları verileri kalıcı olarak yok edemezken veya ağları ihlal etmezken, genişletilmiş hizmet kesintileri ve düşükleri nedeniyle hala önemli bir finansal hasar getirebilirler.
Böyle güçlü bir tehdit olmak, Internet Güvenlik Servis Sağlayıcıları, DDOS aktörlerinin yeni hileler ve farklı yaklaşımlarla cevap verdiği gelişmiş algılama ve azaltma çözümleri geliştirmiştir.
Bu "kedi ve fare" oyunu bağlamında, Akamai, 1821 Ağustos'ta bir Amerikan Üniversitesi Araştırmacıları ekibi tarafından incelenen 'TCP MiddleBox Yansıması' olarak kullanılan yeni bir DDOS saldırı yöntemi gördü.
Bir MiddleBox, iki internet cihazı arasında değiş tokuş edilen paket akışlarını izleyerek, filtreleme, dönüştürme paket akışlarını izleyerek, paket denetimini veya içerik filtrelemesini gerçekleştiren bir ağ cihazıdır.
Middlebox'lar, sadece paket başlıklarını değil, aynı zamanda paketin içeriğini de ele almazlar, bu nedenle Derin Paket Denetimi (DPI) sistemlerinde kullanılırlar.
Fikir, cihazların hacimli bir yanıt püs etmesine neden olan özel hazırlanmış TCP paket dizileri kullanarak hassas güvenlik duvarlarını ve içerik filtreleme ilke uygulama sistemlerini ortam kutularında kötüye kullanmaktır.
Akamai Analistleri, 2,156 baytlık bir yanıt tetikleyen, 65x amplifikasyon faktörü elde eden 33 byte yükü olan gerçek bir SYN paketi gözlemledi.
"Araştırma yazarları, dünyanın dört bir yanındaki bu TCP yansıması kötüye kullanımına karşı yüz binlerce MiddleBox sisteminin bulunduğunu belirtti. Testlerinde, popüler ve sık sık taciz edilen UDP yansıması vektörlerini aşan amplifikasyon oranlarını keşfettiler" dedi.
"Vahşi doğada bulunan savunmasız sistemlerden bazıları, NTP, Ripv1 ve hatta şimdi rezil memcached gibi en sert UDP vektörlerinin bazılarından daha büyük bir amplifikasyon oranı sunar."
Her yansıma ile, yeni bir amplifikasyon adımı eklenir, bu nedenle yanıt boyutu hızlı bir şekilde elden çıkabilir ve bu saldırılar, iyi kurulmuş UDP vektörlerini potende bile geçebilir.
Akamai, çalışan bir TCP hizmeti olan bir limanda bir saldırıyı aşağıdaki gibi açıklar:
"Bu hacimsel saldırı şimdi bir kaynak tükenme saldırısı haline geldi: Bir TCP başvurusunda / hizmete yönelik olan bu SYN paketleri, uygulamanın birden fazla Syn + ACK paketlerine cevap vermeye çalışmasına ve TCP oturumlarını açık tutmaya, üçün kalanını bekliyor. Yol el sıkışma. Her TCP oturumu bu yarı açık durumda tutulduğunda, sistem, potansiyel olarak tam kaynak tükenme noktasına kadar kaynak tüketecek soketleri tüketecektir. "
Akamai
Akamai, bankacılık, seyahat, oyun, medya ve web barındırma hizmeti sağlayıcılarını hedefleyen kampanyalarda TCP Middlebox yansıma saldırılarını gözlemledi.
Saldırılar şimdilik küçük olmasına rağmen, en önemli 11 Gbps'e (1,5 MPPS'de), tehdit analistleri, rakipler tekniklerini ince ayarlar ve en iyi yansıtan kalıpları bulmadan önce sadece bir zaman meselesini göz önünde bulundurur.
Bu yükseliş trendine cevaben, Akamai aşağıdaki azaltma yaklaşımlarını önermektedir:
Ukrayna, 'BT ordusunun' anahtar Rus sitelerini düşürdüğünü söyledi
Ukrayna, Rus varlıklarını kesmek için "BT Ordusu" ı işe alıyor, 31 hedefi listeler
Ukrayna hükümeti ve bankalar bir kez daha DDOS saldırılarına çarptı
Ukrayna askeri ajansları, devlete ait bankalar DDOS saldırılarına çarptı
Microsoft, en büyük DDOS saldırısını, tarihte bildirilen en büyük DDOS saldırısını hafifletti.
Kaynak: Bleeping Computer