Group IB

Найден способ усиления DDoS-атак в 65 раз

17.03.2022
Найден способ усиления DDoS-атак в 65 раз

Эксперты Akamai наблюдают растущее количество DDoS-атак, использующих новый метод, обеспечивающий 65-кратное умножение мусорного трафика. Катастрофических атак пока не было, но это, видимо, вопрос времени, пишет CNews.

65-кратное усиление

Аналитики компании Akamai сообщили, что все чаще наблюдают применение в DDoS-атаках нового приема, который позволяет усиливать их в 65 раз. В результате злоумышленники, используя очень ограниченные ресурсы, могут запускать атаки катастрофических масштабов и надолго выводить целевую инфраструктуру из строя.

Прием получил название TCP Middlebox Reflection — отраженные атаки с использованием промежуточных устройств TCP. Промежуточным устройством называется сетевой аппарат, производящий инспекцию пакетов или фильтрацию контента, которым обмениваются другие интернет-устройства. В частности, такие аппараты применяются в система глубокой инспекции пакетов (DPI).

В августе 2021 г. исследователи из нескольких американских университетов описали технологию атаки, которая использует такие устройства для усиления DDoS. Идея заключается в том, чтобы использовать уязвимые файерволлы и системы реализации политик фильтрации контента в промежуточных устройствах, используя специально подготовленные последовательности TCP-пакетов, на которые эти устройства вынужденно дают особенно массированный ответ.

В частности, на специальный 33-байтных SYN-пакет систему можно заставить выдавать ответ размером 2156 байт, то есть, коэффициент усиления составляет примерно 65 раз.

В Akamai указывают, что по всему миру выявлены сотни тысяч промежуточных устройств, беззащитных перед таким способом эксплуатации.

Действительно мощных атак пока не было

Данный вектор превосходит все популярные способы амплификации DDoS-атак, в том числе считавшиеся наиболее опасными, такие как отражение UDP-пакетов и т. п.

Уже наблюдались атаки, нацеленные на банковские, туристические, игровые ресурсы, а также на СМИ и сервис-провайдеров. Пока, впрочем, наиболее мощная атака, использовавшая этот вектор, достигла интенсивности 11 гигабит в секунду, что по нынешним временам не так много.

«Атакам подвергаются те ресурсы, для которых они оказываются наиболее болезненными, — отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Что касается малой интенсивности, то, полагаю, пройдет очень немного времени, прежде чем мы увидим рекордную по интенсивности атаку с использованием этого вектора».