之前有 UDP 的放大攻擊(例如:DNS 放大攻擊),那是因為 UDP 可以送被攻擊者的 IP 給他,藉此回應大量資料往被攻擊的機器做 DDoS。
TCP 本身是需要 IP + 三向握手協定,所以應該不會有這種攻擊模式,但是這份資料就是用 TCP 做反射攻擊,而且 Akamai 已經觀察到許多真實的攻擊案例。
Akamai 揭露中間裝置做 DDoS 放大攻擊的案例
話說,這個攻擊方式,新聞和一些文章都沒有寫得很詳細,所以我也還不太清楚做法。
此篇文章有簡單說明:Akamai揭露借道中間裝置以展開DDoS放大攻擊的真實案例
- 防火牆中內容過濾系統等中間裝置(Middlebox),可能會被用來進行 TCP反射攻擊的理論,資安業者 Akamai 表示他們已觀察到許多真實的攻擊案例
- 駭客可以偽裝成受害者的 IP,傳送包含遭封鎖之 HTTP 請求標題的各種 TCP封包,中間裝置收到這些封包之後便會產生回應,在其中一個攻擊案例中,駭客只傳送了一個33位元 酬載的封包,就觸發了 2,156 位元 的回應,放大率為 65倍。
- 此一新興的分散式服務阻斷攻擊(DDoS)型態最多將可放大75倍的攻擊流量
相關網頁
- Weaponizing Middleboxes for TCP Reflected Amplification
- TCP Middlebox Reflection: Coming to a DDoS Near You
