Οι εισβολείς distributed denial of service (DDoS) χρησιμοποιούν μια νέα τεχνική για να θέσουν sites σε κατάσταση offline στοχεύοντας ευάλωτα «middleboxes», όπως firewalls, για να ενισχύσουν τις επιθέσεις junk traffic.
Οι επιθέσεις ενίσχυσης δεν είναι κάτι καινούργιο και έχουν βοηθήσει τους επιτιθέμενους να ρίξουν τους servers με σύντομα busts επισκεψιμότητας έως και 3,47 Tbps. Η Microsoft πέρυσι μείωσε τις επιθέσεις αυτής της κλίμακας που ήταν αποτέλεσμα ανταγωνισμού μεταξύ παικτών διαδικτυακών παιχνιδιών.
Αλλά υπάρχει μια νέα επίθεση στον ορίζοντα. Η Akamai, μια εταιρεία content distribution network, λέει ότι έχει δει ένα πρόσφατο κύμα επιθέσεων που χρησιμοποιεί το “TCP Middlebox Reflection”, αναφερόμενο στο πρωτόκολλο ελέγχου μετάδοσης (TCP) – ένα ιδρυτικό πρωτόκολλο για ασφαλείς επικοινωνίες στο διαδίκτυο μεταξύ δικτυωμένων μηχανών. Οι επιθέσεις έφτασαν τα 11 Gbps με 1,5 εκατομμύρια πακέτα ανά δευτερόλεπτο (Mpps), σύμφωνα με την Akamai.
Η τεχνική ενίσχυσης αποκαλύφθηκε σε μια ερευνητική εργασία τον περασμένο Αύγουστο, η οποία έδειξε ότι οι εισβολείς μπορούσαν να κάνουν κατάχρηση των middleboxes όπως τα firewalls μέσω TCP για να μεγεθύνουν τις επιθέσεις denial of service. Η εργασία προήλθε από ερευνητές του Πανεπιστημίου του Μέριλαντ και του Πανεπιστημίου του Κολοράντο Μπόλντερ.
Οι περισσότερες επιθέσεις DDoS κάνουν κατάχρηση του πρωτοκόλλου User Datagram Protocol (UDP) για την ενίσχυση της παράδοσης πακέτων, στέλνοντας πακέτα σε έναν server που απαντά με μεγαλύτερο μέγεθος πακέτου, το οποίο στη συνέχεια προωθείται στον επιδιωκόμενο στόχο του εισβολέα.
Η επίθεση TCP εκμεταλλεύεται τα network middleboxes που δεν συμμορφώνονται με το πρότυπο TCP. Οι ερευνητές βρήκαν εκατοντάδες χιλιάδες διευθύνσεις IP που θα μπορούσαν να ενισχύσουν τις επιθέσεις πάνω από 100 φορές χρησιμοποιώντας firewalls και συσκευές φιλτραρίσματος περιεχομένου.
Έτσι, αυτό που μόλις πριν από οκτώ μήνες ήταν μια θεωρητική επίθεση πλέον είναι μια πραγματική και ενεργή απειλή.
Τα firewalls και παρόμοιες συσκευές middlebox όπως οι Cisco, Fortinet, SonicWall και Palo Alto Networks, αποτελούν βασικά κομμάτια της εταιρικής υποδομής δικτύου. Ωστόσο, ορισμένα middleboxes δεν επικυρώνουν σωστά τις καταστάσεις TCP stream κατά την επιβολή πολιτικών φιλτραρίσματος περιεχομένου.
Οι εισβολείς μπορούν να κάνουν κατάχρηση αυτών των πλαισίων πλαστογραφώντας τη source IP προέλευσης του προβλεπόμενου θύματος για να κατευθύνουν το response traffic από τα middleboxes.
Πηγή πληροφοριών: zdnet.com
 χρησιμοποιούν μια νέα τεχνική για να θέσουν sites σε κατάσταση offline στοχεύοντας...){kind=link}