Dağıtılmış hizmet reddi (DDoS) saldırganları, önemsiz trafik saldırılarını artırmak için güvenlik duvarları gibi savunmasız “orta kutuları” hedefleyerek web sitelerini çevrimdışı duruma getirmek için yeni bir teknik kullanıyor.
Amplifikasyon saldırıları yeni bir şey değil ve saldırganların 3,47 Tb/sn’ye varan kısa trafik sıkışıklıklarına sahip sunucuları devirmesine yardımcı oldu. Microsoft geçen yıl, çevrimiçi oyun oyuncuları arasındaki rekabetin sonucu olan bu ölçekte saldırıları azalttı.
Ama ufukta yeni bir saldırı var. Bir içerik dağıtım ağı şirketi olan Akamai, ağa bağlı makineler arasında internette güvenli iletişim için bir kurucu protokol olan iletim kontrol protokolüne (TCP) atıfta bulunarak “TCP Middlebox Reflection” kullanan yeni bir saldırı dalgası gördüğünü söylüyor. Akamai’ye göre saldırılar, saniyede 1,5 milyon pakette (Mpps) 11 Gbps’ye ulaştı.
Amplifikasyon tekniği, saldırganların hizmet reddi saldırılarını büyütmek için TCP aracılığıyla güvenlik duvarları gibi orta kutuları kötüye kullanabileceğini gösteren geçen Ağustos ayında bir araştırma makalesinde ortaya çıktı. Makale, Maryland Üniversitesi ve Colorado Boulder Üniversitesi’ndeki araştırmacılardandı.
Çoğu DDoS saldırısı, genellikle daha büyük bir paket boyutuyla yanıt veren ve ardından saldırganın hedeflenen hedefine iletilen bir sunucuya paketleri göndererek, paket dağıtımını güçlendirmek için Kullanıcı Veri Birimi Protokolünü (UDP) kötüye kullanır.
TCP saldırısı, TCP standardına uymayan ağ ara kutularından yararlanır. Araştırmacılar, güvenlik duvarlarını ve içerik filtreleme cihazlarını kullanarak saldırıları 100 kattan fazla artırabilecek yüz binlerce IP adresi buldu.
Yani, sadece sekiz ay önce teorik bir saldırı olan şey şimdi gerçek ve aktif bir tehdit.
Bir blog yazısında “Middlebox DDoS amplifikasyonu, internet için risk oluşturan tamamen yeni bir TCP yansıtma/amplifikasyon saldırısı türüdür. Bu tekniği vahşi doğada ilk kez gözlemledik” diyor.
Cisco, Fortinet, SonicWall ve Palo Alto Networks gibi firmaların güvenlik duvarları ve benzeri ara kutu cihazları, kurumsal ağ altyapısının önemli parçalarıdır. Ancak bazı orta kutular, içerik filtreleme ilkelerini uygularken TCP akış durumlarını doğru şekilde doğrulamaz.
Bu kutular, durum dışı TCP paketlerine yanıt vermek için yapılabilir. Bu yanıtlar genellikle, kullanıcıların engellenen içeriğe erişmesini önlemek amacıyla istemci tarayıcılarını “kaçırmak” anlamına gelen yanıtlarında içerik içerir. Bu bozuk TCP uygulaması, Veri akışları da dahil olmak üzere TCP trafiğini saldırganlar tarafından DDoS kurbanlarına yansıtmak için kötüye kullanılabilir, diye belirtiyor Akamai.
Saldırganlar, orta kutulardan gelen yanıt trafiğini yönlendirmek için hedeflenen kurbanın kaynak IP adresini taklit ederek bu kutuları kötüye kullanabilir.
TCP’de bağlantılar, üç yönlü bir el sıkışma için önemli mesajları değiş tokuş etmek için senkronizasyon (SYN) kontrol bayrağını kullanır. Saldırganlar, SYN paket mesajlarına beklenmedik bir şekilde yanıt vermelerine neden olan bazı orta kutulardaki TCP uygulamasını kötüye kullanır. Bazı durumlarda Akamai, 33 baytlık yüke sahip tek bir SYN paketinin 2.156 baytlık bir yanıt ürettiğini ve boyutunu %6.533 oranında artırdığını gözlemledi.
Source: Zdnet