Устройства фильтрации контента используются для 65-кратного усиления DDoS-атак

Исследователи в области кибербезопасности выявили тревожную новую тенденцию в DDoS-атаках, направленных на устройства проверки пакетов и фильтрации контента, для достижения огромных уровней усиления в 6533%. С таким уровнем усиления киберпреступники могут запускать катастрофические атаки с ограниченной пропускной способностью/оборудованием, пишет SecurityLab.

По словам исследователей в области безопасности из Akamai, новый метод проведения DDoS-атак получил название TCP Middlebox Reflection. Впервые о нем стало известно в августе 2021 года.

Middlebox («промежуточный блок») — сетевое устройство, выполняющее проверку пакетов или фильтрацию содержимого путем мониторинга, фильтрации и преобразования потоков пакетов, которыми обмениваются два интернет-устройства. Промежуточные блоки обрабатывают не только заголовки пакетов, но и их содержимое, поэтому они используются в системах глубокой проверки пакетов (deep packet inspection, DPI).

Идея состоит в том, чтобы использовать уязвимые межсетевые экраны и системы применения политик фильтрации содержимого в промежуточных устройствах путем специально созданной последовательности TCP-пакетов.

Как сообщили аналитики Akamai, реальный SYN-пакет с 33-байтовой полезной нагрузкой вызывал ответ размером 2156 байт, достигая коэффициента усиления в 65 раз.

С каждым отражением добавляется новый шаг усиления, поэтому размер ответа может быстро выйти из-под контроля, и эти атаки могут превзойти по эффективности даже хорошо зарекомендовавшие себя векторы UDP.

Akamai зафиксировала атаки TCP Middlebox Reflection в реальных условиях в кампаниях, нацеленных на банковские услуги, компании в сфере путешествий, видеоигр, массовой информации и поставщиков услуг web-хостинга.

В качестве защитных мер Akamai предлагает:

• Рассматривать все SYN-пакеты длиной более 0 байт как подозрительные.

• Внедрить SYN-вызовы, чтобы саботировать рукопожатие и отбрасывать потоки вредоносных данных до того, как они достигнут приложений и серверов.

• Использовать комбинацию модулей защиты от спуфинга и защиты от нештатных ситуаций.

• Добавить ACL (правила) межсетевого экрана, чтобы отбрасывать пакеты SYN длиной более 100.