大学生疯狂高潮呻吟免费视频,超清纯白嫩大学生无码网站,国产高颜值大学生情侣酒店

                                                                                        海納百川 隨御而安

                                                                                        海御首頁> 海御新聞 > 新型 DDoS 攻擊泛濫:利用中間盒的 TCP 反射放大攻擊

                                                                                        新型 DDoS 攻擊泛濫:利用中間盒的 TCP 反射放大攻擊

                                                                                        2022-05-10 16:35:00 來源: 海御

                                                                                        一、引言
                                                                                        2021 年 8 月馬里蘭大學 Kevin Bock 等在 USENIX 大會上提出一種利用中間盒發起的新型 TCP 反射放大攻擊手法:攻擊者可以利用部分網絡中間盒在 TCP 會話識別上的漏洞,實現一種全新的 DDoS 反射放大攻擊。與 2018 年出現的利用協議棧發起的 TCP 反射無法放大攻擊流量的情況不同,這種新型攻擊實現了基于 TCP 協議的流量放大效果,這也使得該攻擊手法誕生之后,在黑產中快速傳播,全網泛濫。
                                                                                        二、反射放大攻擊的前世今生
                                                                                        在說明這種新型攻擊手法之前,需要先科普一下反射放大攻擊。所謂的反射放大攻擊是非常常見并且深受攻擊者歡迎的 DDoS 攻擊手法,其基本原理非常簡單:攻擊者通過控制僵尸網絡偽造靶機 IP 向特定的公網服務器發送請求,公網服務器收到請求后會向靶機發送更大的應答報文,從而實現攻擊流量放大。

                                                                                        這里的公網服務器是指對外開放某些可被利用作反射放大的協議端口的服務器,比較常見的協議有 DNS、NTP、SNMP、Memcached 等,這些協議一般基于基于 UDP,并且協議本身存在缺陷,沒有校驗來源 IP 的真實性,且存在應答報文遠大于請求報文等特點。這種反射放大手法簡單、有效,一直深受黑客喜愛,所以很長一段時間內 UDP 反射就是反射放大攻擊的別稱。
                                                                                        那有沒有利用 TCP 協議做反射攻擊的?答案是有的。早在 2018 年就出現利用公網服務器開放的 TCP 端口進行反射攻擊的手法,相比UDP反射放大攻擊,此類利用TCP協議棧的反射攻擊實際并無太明顯的流量放大效果,因為請求的來源IP是偽造的,無法與TCP服務器完成TCP三次握手建立連接,所以無法得到應用層的應答報文。但是這種攻擊利用了TCP的協議棧特性,使靶機看到攻擊流量具備協議棧行為,而且成份復雜(synack、ack、rst等混合流量),導致反向挑戰、協議棧行為校驗等傳統的TCP防護算法無法防護,大大增加了防護難度,所以這種TCP反射誕生后很快成為DDoS攻擊的主流攻擊手法。
                                                                                        三、新型 TCP 反射放大攻擊襲來
                                                                                        3.1 新型 TCP 反射攻擊誕生
                                                                                        2021 年 8 月馬里蘭大學 Kevin Bock 等在《USENIX Security 2021》上發表并獲得杰出論文獎的《Weaponizing Middleboxes for TCP Reflected Amplification》介紹了一種利用中間盒發起的新型 TCP 反射放大攻擊手法。與 2018 年出現的 TCP 反射攻擊受限于 TCP 三次握手機制導致難以實現流量放大的情況不同,這種新型的攻擊手法利用了部分中間盒沒有或者說無法嚴格遵循 TCP 協議棧的漏洞,精細構造特定請求,觸發中間盒返回攔截頁面,而由于攔截頁面往往大于請求本身,最終實現了攻擊流量的放大。
                                                                                        之所以說中間盒沒有或者說無法嚴格遵循 TCP 協議棧是因為:現網很多中間盒例如防火墻、合規系統等考慮到網絡架構、性能、穩定性等因素都會采用旁路部署、單邊流量檢測的架構,即這些系統本身只能看到機房入向的流量數據,最終這些中間盒只能根據單向流量判斷是否存在 TCP 連接,甚至有中間盒不判斷是否存在 TCP 連接,直接解析請求內容并下發攔截策略。所以攻擊者發起這種新型 TCP 反射攻擊的流程簡單總結起來只需要以下幾步:
                                                                                        1. 攻擊者偽造靶機公網 IP,向存在中間盒(一般是合規系統)的公網 IP 精心偽造單向 TCP 連接并發送一個包含未備案域名的請求;
                                                                                        2. 中間盒沒有對 TCP 會話做雙向的流量跟蹤,誤判 TCP 三次握手已經完成,并且檢測到未備案的域名請求,觸發未備案域名攔截動作;
                                                                                        3. 很多中間盒的攔截方式是返回一個較大的包含阻斷頁面的應答報文,靶機收到大量垃圾流量,最終黑客實現攻擊流量的反射放大。
                                                                                        備注:當然這個攻擊手法對基于雙向流量識別,并嚴格遵循 TCP 協議棧的中間盒是無效的。

                                                                                        3.2 攻擊原理和效果詳解
                                                                                        根據攻擊的思路可知,攻擊者如果想把這種手法運用到實戰,需要滿足 3 個關鍵條件:
                                                                                        1. 找到欺騙中間盒讓其誤判 TCP 連接已經建立的有效手段
                                                                                        2. 找到更容易觸發中間盒攔截的非法域名
                                                                                        3. 找到放大系數盡可能大的中間盒
                                                                                        1)找到欺騙中間盒讓其誤判 TCP 連接已經建立的有效手段
                                                                                        由于這種新型 TCP 反射攻擊本質上是利用了部分中間盒的弱點,而全球互聯中存在種類極其繁多的中間盒,不同類型的中間盒具體機制存在差異,所以需要找到有效、高效、通用的方法,欺騙中間盒,使其誤以為 TCP 連接已經建立。通過測試和分析,最終發現主要有以下 TCP 報文類型或組合可以欺騙中間盒:

                                                                                        值得注意的是單報文就能觸發攔截的場景一般都是對應的中間盒完全沒有做任何的 TCP 握手檢查,而是基于特定標志位的報文就直接提取域名并進行攔截,此類中間盒相對較少。而 SYN;PUSH+ACK 這種請求報文組合完全偽造單向 TCP 握手和 HTTP GET 請求場景,可以欺騙絕大部分只能看到單向流量的中間盒,所以觸發反射放大的成功率更高。
                                                                                        2)找到更容易觸發中間盒攔截的非法域名
                                                                                        找到欺騙中間盒,讓其誤判已經建立 TCP 連接的方法后,就需要找到更容易讓中間盒下發攔截的域名。實際上中間盒對特定域名的攔截本質上就是互聯網審查,所謂的互聯網審查是由于政治、宗教、道德、經濟等原因,世界很多國家都會對互聯網流量進行不同程度的審查而且對不符合當地法律法規的域名進行屏蔽和請求攔截。而一般來說東亞、東南亞、中東等國家的互聯網審計更為嚴格,所以某種程度上來說這些國家和地區的審計系統更容易被利用。
                                                                                        盡管審查的范圍因國家地區而異,所以很難找到一個被所有審計中間盒攔截的域名,Kevin Bock 等人在 Quack 工具發布的公共數據進行測試分析,找到從大多數中間盒中引發響應的 5 個域,這些域巧合地跨越了五個不同的區域:
                                                                                        • 色情相關域名
                                                                                        • 賭博相關域名
                                                                                        • 社交媒體相關域名
                                                                                        • 文件共享相關域名
                                                                                        • 性健康/教育相關域名
                                                                                        3)找到放大系數盡可能大的中間盒
                                                                                        為了讓靶機受到更大的攻擊流量,就需要找到放大效果更好的中間盒作為反射放大器,而放大系數就是主要的衡量標準。
                                                                                        放大系數可以理解為流量的放大倍數,計算方法非常簡單,就是 response 總長度/query 總長度。傳統的 UDP 反射攻擊的放大系數與具體的協議實現相關,所以放大系數是一個相對固定的值:除了 Memcached 反射攻擊以外,其他 UDP 反射放大系數不超過 600,而且以 200 以內為主。

                                                                                        而當前這種新型 TCP 反射攻擊的放大倍數卻并不是一個固定的值,因為不同地區、不同廠商、不同類型的中間盒的攔截方式并不一致,甚至可以說是差別巨大。所以為了量化和評估這種手法的放大系數情況,我們對全網網段進行掃描,并對放大系數超過 5 的反射放大器進行統計分析:大部分反射放大器的放大系數在 5~100 之間,同時發現超過 1 萬個放大系數在 100~10000 的強力放大器,不過更讓人吃驚的是還發現了幾個放大系數超過 1 萬,甚至超過 5 萬超級放大器。

                                                                                        那問題來了,按理來說中間盒應答的阻斷包雖然可能會大于請求包,但阻斷頁面大小畢竟是有限的,所以出現成百上千的放大倍數還能理解,為何會出現數以萬倍,甚至是超過 5 萬倍的放大效果呢?而這個就是我們接下里討論的超級放大器。
                                                                                        3.3 超級放大器
                                                                                        為了理解超級放大器,我們需要系統了解主要的反射場景:

                                                                                        場景一:服務器反射
                                                                                        這種場景下服務器收到請求后直接應答,一般會返回 synack 或者 rst,這種反射場景實際就是 2018 年出現的利用服務器協議棧的 TCP 反射,并無明顯放大效果。
                                                                                        場景二:中間盒反射
                                                                                        攻擊請求觸發了中間盒攔截,中間盒代替服務器給靶機應答一個較大的阻斷頁面,從而實現攻擊流量放大,而且阻斷頁面越大,放大系數越大。當然部分中間盒并不會應答阻斷頁面,而是直接代替服務器返回 rst,這種情況下并不會有放大效果。
                                                                                        場景三:服務器+中間盒反射
                                                                                        攻擊請求觸發既觸發了中間盒攔截,又觸發了后端服務器的應答,所以靶機會同時收到中間盒的攔截頁面以及服務器的 synack 或者 rst,放大系數會略大于場景二。
                                                                                        場景四:中間盒反射+路由環路
                                                                                        這個場景最為特殊,攻擊請求到達服務器所在 IDC 機房后,由于路由環路使請求在兩個路由器之間循環,最終導致中間盒收到大量請求,最終給靶機多次應答阻斷頁面。我們知道數據報文中有 TTL 字段,每經過一個路由設備就會減一,直到減到 0 報文才會被丟棄。而攻擊請求報文的初始 TTL 設置為 255,這就意味著經過路由環路,放大系數會比原來的增大 200+倍。(如下圖: 攻擊請求環路導致中間盒收到大量重復請求)

                                                                                        然后這情況還不是最糟糕,在某些特定的網絡環境,會存在 TTL 重置的情況(例如網絡中跑 MPLS 協議,并設置了 MPLS QOS,某些廠商設備的 MPLS QOS 默認會重置 TTL),環路后請求包將無限循環,最終中間盒被迫以最大能力應答阻斷頁面,直到所在的出口帶寬滿載。上述因素就是出現超大放大系數中間盒的原因,這些反射器也被稱為超級放大器。當然這種環路或者無限環路的情況會引起 IDC 運維和安全人員的警惕,所以超級反射器的存活并不穩定。例如筆者找到印度的一個超級反射器后,第二天就“失活”,變成普通反射器。
                                                                                        此外,Kevin Bock 等在《USENIX Security 2021》(https://www.usenix.org/conference/usenixsecurity21/presentation/bock)提到的還有第五種反射場景:靶機與中間盒的持續反射也能實現無限放大的能力,但由于筆者掃描沒有發現此場景,故本文不作詳細闡述。
                                                                                        四、防護方案
                                                                                        被利用做反射放大器的中間盒如防火墻、合規系統一般都由 IP 網段所屬企業/運營商統一部署及運營,所以同一個 IP 網段的放大效果接近,這就意味著如果攻擊者要對外發起這種攻擊,往往會向反射放大器所在 IP 網段發起掃描式的請求,這對反射放大器所在 IP 網段的來說就是掃段式的 DDoS 攻擊。所以這種攻擊的受害者其實有兩個:
                                                                                        1. 被攻擊的靶機;
                                                                                        2. 被當作放大器的 IP 網段。
                                                                                        我們需要的是:既能有效防御這種攻擊,又能避免成為攻擊者的反射放大器。
                                                                                        4.1 新型 TCP 反射攻擊如何防護
                                                                                        如果我們被攻擊者盯上,成為了靶機,那么防護這種攻擊的關鍵就有兩個:
                                                                                        1. 有效的防護策略;
                                                                                        2. 充足的防護帶寬。
                                                                                        在防護策略方面:由于中間盒的應答報文從四層流量上實際上與正常的 HTTP 應答報文并無明顯差異,所以防護這種攻擊實際比較困難,一般來說可以通過以下方法防護:
                                                                                        1. 如果沒有源端口 80 的 TCP 業務流量,可以直接封禁源端口 80 的 TCP 流量
                                                                                        2. 對非客戶所在區域或者 IP 網段進行封禁
                                                                                        3. 借助云廠商專業的 DDoS 防護能力進行防護,例如海御安全多年的海量業務 DDoS 攻防積累,結合流量指紋、機器學習等多種技術手段,對流量進行精細化清洗,清洗成功率 99.9% 以上,可有效防護此類新型 DDoS 攻擊,讓用戶高枕無憂
                                                                                        在防護帶寬方面:由于該攻擊手法具備流量放大效果,攻擊流量往往很大,充足的防護帶寬是不可或缺的。所以如果業務被攻擊者盯上,面臨這種大流量 DDoS 攻擊時,非常推進接入云端,通過云廠商海量的防護帶寬進行防御。例如海御安全 DDoS 高防產品依托海量帶寬儲備資源與優質的 BGP 線路類型,可以輕松抵御大流量 DDoS 攻擊。
                                                                                        4.2 如何避免淪為反射放大器
                                                                                        如果企業的中間盒(特別是合規系統)如果存在 TCP 會話識別的漏洞,且合規的阻斷頁面過大,那么久很有可能會被外部攻擊者當做“優質的”反射放大器,從而不可避免地頻繁遭受掃段式 DDoS 攻擊,極大的浪費了系統性能、出口帶寬等寶貴資源,而且面臨被靶機投訴甚至報復的風險。為此優化合規系統等中間盒的機制,避免被利用將成為重要的安全話題,為此我們建議:
                                                                                        1. 中間盒可以新增 TCP 報文的合法性檢查和丟棄,例如 syn 置位但又攜帶載荷的屬于明顯非法報文,可以將其丟棄;
                                                                                        2. 中間盒需要完善 TCP 會話識別能力,避免直接從 TCP 單包里直接提取域名直接下發攔截。在條件具備的情況下,盡量基于出入流量的雙向會話檢查,這樣可以徹底規避風險。
                                                                                         

                                                                                        服務熱線

                                                                                        010-87747760

                                                                                        大学生疯狂高潮呻吟免费视频,超清纯白嫩大学生无码网站,国产高颜值大学生情侣酒店