Điểm yếu trong việc triển khai giao thức TCP trong hộp trung gian và cơ sở hạ tầng kiểm duyệt có thể được vũ khí hóa như một véc tơ để phản ánh các cuộc tấn công khuếch đại từ chối dịch vụ (DoS), vượt qua nhiều yếu tố khuếch đại dựa trên UDP hiện có cho đến nay.
Được trình bày chi tiết bởi một nhóm học giả từ Đại học Maryland và Đại học Colorado Boulder tại Hội nghị chuyên đề về bảo mật USENIX, các cuộc tấn công tích cực lợi dụng các hộp trung gian trong mạng không tuân thủ TCP – chẳng hạn như tường lửa, hệ thống ngăn chặn xâm nhập và gói sâu hộp kiểm tra (DPI) – để khuếch đại lưu lượng mạng, với hàng trăm nghìn địa chỉ IP được cung cấp các yếu tố khuếch đại vượt quá những thứ từ DNS, NTP và Memcached.
Các cuộc tấn công khuếch đại được phản ánh là một loại tấn công DoS trong đó kẻ thù lợi dụng tính chất không kết nối của giao thức UDP với các yêu cầu giả mạo để định cấu hình sai các máy chủ mở nhằm áp đảo máy chủ mục tiêu hoặc mạng với nhiều gói tin, gây gián đoạn hoặc hiển thị máy chủ và cơ sở hạ tầng xung quanh không thể tiếp cận được. Điều này thường xảy ra khi phản hồi từ dịch vụ dễ bị tấn công lớn hơn yêu cầu giả mạo, sau đó có thể được tận dụng để gửi hàng nghìn yêu cầu này, do đó khuếch đại đáng kể kích thước và băng thông được cấp cho mục tiêu.
Mặc dù khuếch đại DoS theo truyền thống dựa trên UDP do các phức tạp phát sinh từ TCP bắt tay ba chiều để thiết lập kết nối TCP / IP qua mạng dựa trên IP (SYN, SYN + ACK và ACK), các nhà nghiên cứu phát hiện ra rằng một số lượng lớn các hộp trung gian mạng không tuân theo tiêu chuẩn TCP và chúng có thể “phản hồi với giả mạo các yêu cầu được kiểm duyệt với các trang khối lớn, ngay cả khi không có kết nối TCP hợp lệ hoặc bắt tay “, biến các thiết bị thành mục tiêu hấp dẫn cho các cuộc tấn công khuếch đại DoS.
“Hộp trung gian thường không tuân thủ TCP theo thiết kế: nhiều hộp trung gian cố gắng [to] xử lý định tuyến không đối xứng, trong đó hộp trung gian chỉ có thể nhìn thấy một hướng của các gói trong một kết nối (ví dụ: máy khách đến máy chủ) “, các nhà nghiên cứu nói. “Nhưng tính năng này mở ra để chúng tấn công: nếu hộp trung gian chỉ đưa nội dung dựa trên một bên của kết nối, kẻ tấn công có thể giả mạo một bên của quá trình bắt tay ba chiều TCP và thuyết phục hộp trung gian có một kết nối hợp lệ.”
Hơn nữa, một loạt thử nghiệm cho thấy những phản hồi khuếch đại này chủ yếu đến từ các hộp trung gian, bao gồm các thiết bị kiểm duyệt quốc gia-nhà nước và tường lửa của công ty, làm nổi bật vai trò của cơ sở hạ tầng như vậy trong việc cho phép các chính phủ ngăn chặn quyền truy cập vào thông tin trong biên giới của họ và tệ hơn, cho phép kẻ thù vũ khí hóa các thiết bị mạng để tấn công bất kỳ ai.
Các nhà nghiên cứu cho biết: “Cơ sở hạ tầng kiểm duyệt quốc gia-nhà nước được đặt tại các ISP tốc độ cao và có khả năng gửi và đưa dữ liệu vào ở băng thông cực kỳ cao. “Điều này cho phép kẻ tấn công khuếch đại một lượng lớn lưu lượng truy cập mà không phải lo lắng về độ bão hòa của bộ khuếch đại. Thứ hai, nhóm địa chỉ IP nguồn khổng lồ có thể được sử dụng để kích hoạt các cuộc tấn công khuếch đại khiến nạn nhân khó có thể đơn giản chặn một số ít bộ phản xạ. Nation-state các nhà kiểm duyệt biến mọi địa chỉ IP có thể định tuyến (sic) trong quốc gia của họ thành một bộ khuếch đại tiềm năng một cách hiệu quả. “
“Các hộp trung gian giới thiệu một mối đe dọa bất ngờ, chưa được khai thác mà những kẻ tấn công có thể tận dụng để khởi động các cuộc tấn công DoS mạnh mẽ”, các nhà nghiên cứu thêm. “Việc bảo vệ Internet khỏi những mối đe dọa này sẽ đòi hỏi nỗ lực phối hợp của nhiều nhà sản xuất và khai thác hộp trung gian.”
