聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

中间系统和审查基础设施中的 TCP 协议实现中存在多个弱点，可被武器化为攻击向量，针对任意目标发动反射性拒绝服务放大攻击，超过迄今为止很多现有的基于 UDP 的放大因素。

马里兰大学和科罗拉多大学科罗拉多大学博尔德分校的研究人员在 USENIX 安全大会上指出，这些攻击利用 TCP 非合规网络内中间系统如防火墙、入侵防御系统和深包检测 (DPI) 系统等放大网络流量，数万个 IP 地址提供的放大因素超过 DNS、NTP和 Memcached 的放大因素。

这项研究成果获得安全大会的卓越论文奖，是首篇描述通过在野滥用中间系统配置错误经由 TCP 协议执行 DDoS 发射型放大攻击的论文，而此前该方法被视作阻止此类欺骗攻击的有效方法。

反射性放大攻击是一种拒绝服务攻击，攻击者利用UDP 协议的无连接性质和配置错误的开放式服务器的欺骗请求，通过数据包洪水攻击目标服务器或网络，从而导致服务器被破坏或使其及周边基础设施无法访问。这种情况通常会在易受攻击服务的响应大于被欺骗请求时发生，随后被用于发送数千个类似请求，从而大大放大对目标发布的规模和带宽。

虽然传统意义上拒绝服务放大攻击基于 UDP，但由于 TCP 的三方握手在基于 IP 的网络（SYN、SYN + ACK 和 ACK）上建立了 TCP/IP 连接，研究人员发现大量网络中间系统不符合 TCP 标准，它们可以“响应具有大块页面的欺骗审查请求，即使没有有效的 TCP 连接或握手”，使得设备成为 DoS 放大攻击的青睐目标。

研究人员表示，“中间系统通常在设计上并不符合 TCP 协议：很多中间系统试图处理异常路由，而在这种情况下中间系统仅能看到连接中的单向数据包（如客户端到服务器）。但这一特征使其易受攻击：如果中间系统仅基于单向连接注入内容，则攻击者能够欺骗 TCP 三方握手的一方，并说服中间系统存在有效连接。”

换句话说，该机制取决于欺骗中间系统在未完成三方握手的情况下注入响应，之后借此访问被禁域名如色情网站、赌博网站、文件共享网站，导致中间系统以拦截页面响应，要比审查请求大得多，从而导致放大后果。

此外，这些放大响应不仅主要来自中间系统，那些网络检查设备块是国家审查设备，强调了这类基础设施在使政府将信息访问权限限制在边界内发挥重要作用，而且更糟糕的是，它使攻击者武器化网络设备，攻击互联网上的任意受害者。

研究人员表示，“国家审查基础设施位于高速的互联网服务提供商处，能够以极其高速的带宽发送并注入数据。这就使得攻击者能够在不担心放大器饱和的情况下放大更大规模的流量。第二，巨大的来源 IP 地址池可用于触发放大攻击，使得受害者难以仅阻止少数反射器。国家审查者实际上将其国内的每个可路由 IP 地址转换为潜在的放大器。”

研究人员还补充道，“中间系统引入异常的、未利用的威胁，可被攻击者用于发动强大的拒绝服务攻击。保护互联网免受此类攻击将要求很多中间系统制造商和运营商进行协作。”

完整论文可见：

https://geneva.cs.umd.edu/posts/usenix21-weaponizing-censors/

推荐阅读

这个TsuNAME 新漏洞可对关键 DNS 服务器发动 DDoS 攻击

DDoS booter滥用 DTLS 服务器放大攻击

攻击者滥用 Citrix NetScaler 设备 0day，发动DDoS放大攻击

原文链接

https://thehackernews.com/2021/08/attackers-can-weaponize-firewalls-and.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~