سو استفاده مهاجمان از فایروال ها و میدل باکس ها برای حملات DDoS تقویت شده
اخبار داغ فناوری اطلاعات و امنیت شبکه
ضعف های پیاده سازی پروتکل TCP در میدل باکس ها و زیرساخت های سانسور می تواند به عنوان محور تقویت حملات denial of service (DoS) علیه هر هدفی مورد استفاده قرار گیرد و از بسیاری از فاکتورهای تقویتی مبتنی بر UDP موجود پیشی بگیرد.
حول محور حملات حجمی که توسط گروهی از دانشگاهیان دانشگاه مریلند و دانشگاه کلرادو بولدر در سمپوزیوم امنیتی USENIX، درباره مزایای عدم رعایت TCP در میدل باکس های درون شبکه (مانند فایروال ها، سیستم های جلوگیری از نفوذ و باکس های بازرسی دیپ پکت (DPI)) که برای تقویت ترافیک شبکه، با صدها هزار آدرس IP که به سمت عوامل تقویت کننده بیشتر از DNS ،NTP و Memcached هدایت میکنند، استفاده میشوند، با جزییات صحبت شده است.
این تحقیق، که در این کنفرانس جایزه مقاله ممتاز را دریافت کرده است، اولین مقاله در نوع خود در زمینه توصیف تکنیک مورد استفاده برای انجام حملات DDoS انعکاس یافته تقویت شده بر روی پروتکل TCP و با سواستفاده از تنظیمات نادرست میدل باکس در فضای سایبری است. این روش، روشی است که قبلاً در جلوگیری از چنین مواردی مانند حملات جعلی موثر واقع شده بود.
حملات تقویتی منعکس شده نوعی حملات DoS هستند که در آن مهاجم از ماهیت اتصال ناپذیر پروتکل UDP با درخواست های جعلی به سرورهای باز با پیکربندی ناصحیح استفاده می کند تا سرور یا شبکه هدف را با سیل پکت ها تحت تأثیر قرار دهد و باعث اختلال یا خرابی سرور و زیرساخت های جانبی غیرقابل دسترسی آون شود. این حالت معمولاً زمانی رخ می دهد که پاسخ سرویس آسیب پذیر بزرگتر از درخواست جعلی باشد، که می تواند هزاران مورد از این درخواست ها را ارسال کند، در نتیجه اندازه و پهنای باند ارسال شده به هدف را به میزان قابل توجهی تقویت می کند.
در حالی که تقویت DoS به دلیل عوارض ناشی از دست دادن سه طرفه TCP برای ایجاد اتصال TCP/IP بر روی شبکه مبتنی بر IP (SYN ، SYN+ACK و ACK) به طور معمول مبتنی بر UDP است، محققان دریافتند که تعداد زیادی از میدل باکس های شبکه با استاندارد TCP مطابقت ندارند و می توانند "حتی اگر هیچ اتصال TCP معتبر یا دست دادن وجود نداشته باشد، به درخواست های جعلی سانسور شده با صفحات بلاک بزرگ و حجیمی پاسخ دهند، " و دستگاه ها را به اهداف جذاب برای حملات تقویت DoS تبدیل نمایند.
محققان می گویند: "میدل باکس ها اغلب از نظر طراحی سازگار با TCP نیستند: بسیاری از میدل باکس ها سعی می کنند روتینگ نامتقارن را مدیریت کنند، درحالیکه میدل باکس تنها می تواند پکت های یک طرفه را در یک اتصال (به عنوان مثال مشتری به سرور) ببیند. اما این ویژگی شرایط را برای آنها جهن انجام حمله فراهم می کند: اگر میدل باکس ها محتوا را فقط در یک طرف اتصال تزریق کنند، مهاجم می تواند یک طرف اتصال سه طرفه TCP را جعل کرده و میدل باکس را متقاعد کند که یک اتصال معتبر وجود داشته و برقرار است".
به عبارت دیگر، این مکانیسم بستگی به فریب میدل باکس برای تزریق پاسخ بدون تکمیل اتصال سه طرفه و متعاقباً استفاده از آن برای دسترسی به دامنه های ممنوعه مانند محتوای پورنوگرافی، قمار و سایت های اشتراک فایل دارد، که باعث می شود میدل باکس با یک صفحه مسدود پاسخ دهد. این اتفاق بسیار بزرگتر از حجم درخواست های سانسور محتوا است و در نتیجه منجر به تقویت می شود.
علاوه بر این، نه تنها این پاسخ های تقویت شده عمدتا از میدل باکس ها می آیند ضمنا بخشی از این تجهیزات متعلق به بازرسی شبکه دستگاه و ساختار سانسور دولت-ملت است، که چنین زیرساخت هایی را در دولت ها قادر می سازد تا دسترسی به اطلاعات در حریم سرزمینی و مرزهای خود را سرکوب و مسدود کنند و بدتر آن، به دشمنان اجازه میدهد تا با استفاده از تجهیزات شبکه به هر قربانی در فضای اینترنت حمله کنند.
محققان می گویند: "زیرساخت سانسور دولت-ملت در ISP های پرسرعت قرار دارد و قادر به ارسال و تزریق داده با پهنای باند فوق العاده بالا است. این به مهاجم اجازه می دهد حجم زیادی از ترافیک را بدون نگرانی از اشباع آمپلی فایر، تقویت کند. دوم اینکه مجموعه عظیمی از منابع IP آدرس هایی که می تواند برای ایجاد حملات تقویت استفاده شود، باعث می شود که قربانیان نتوانند به سادگی تعداد انگشت شماری از رفلکتور ها را مسدود کنند. سانسور کننده های دولت-ملت به طور موثر هر آدرس IP قابل برنامه ریزی (sic) را در داخل کشور خود به یک تقویت کننده بالقوه تبدیل می کنند".
محققان اضافه کردند: "میدل باکس ها تهدیدی غیر منتظره بوده و هنوز مورد استفاده قرار نگرفته اند. مهاجمان می توانند از آنها برای انجام حملات قوی DoS استفاده کنند. حفاظت از اینترنت در برابر این تهدیدها مستلزم تلاش هماهنگ بسیاری از تولید کنندگان و اپراتورهای میدل باکس میباشد".
برچسب ها: DDoS reflected amplification, DoS attacks, Gambling, قمار, MiddleBox, Amplified DDoS Attacks, ISP, میدل باکس, DPI, TCP, Denial of Service, DoS, cybersecurity, حملاتDDoS, DDoS, امنیت سایبری, Cyber Attacks, حمله سایبری