IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

اقدام هکر‌ها به تجهیز TCP Middlebox Reflection برای حملات DDoS تقویت شده

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir hackers begin weaponizing tcp middlebox reflection for amplified ddos attacks 1
حمله Distributed denial-of-service (DDoS) با استفاده از تکنیک تقویت‌یافته جدید به نام TCP Middlebox Reflection برای اولین بار در فضای سایبری، شش ماه پس از ارائه مکانیسم حمله جدید در قالب تئوری، شناسایی شدند.

محققان Akamai در گزارشی که روز سه‌شنبه منتشر شد، گفتند: «این حمله از فایروال‌های آسیب‌پذیر و سیستم‌های فیلتر محتوا برای انعکاس و تقویت ترافیک TCP به دستگاه قربانی سواستفاده می‌کند و یک حمله DDoS قدرتمند ایجاد می‌کند».

محققان افزودند: «این نوع حمله به طور خطرناکی حد حملات DDoS را پایین می‌آورد، زیرا مهاجم از نقطه نظر حجمی به ۱/۷۵‌ام (در برخی موارد) پهنای باند نیاز دارد.

یک حمله distributed reflective denial-of-service (DRDoS)، شکلی از حمله distributed denial-of-service (DDoS) است که بر روی سرور‌های UDP در دسترس عموم و فاکتور‌های تقویت پهنای باند (BAF) برای غلبه بر سیستم قربانی با حجم بالایی از پاسخ UDP متکی است.

در این حملات، دشمن سیل درخواست‌های DNS یا NTP حاوی یک آدرس IP منبع جعلی را به asset مورد نظر ارسال می‌کند و باعث می‌شود سرور مقصد پاسخ‌ها را به میزبانی که در آدرس جعلی قرار دارد به روشی تقویت‌شده که پهنای باند را تمام می‌کند، به هدف مشخص شده تحویل دهد.
takian.ir hackers begin weaponizing tcp middlebox reflection for amplified ddos attacks 2 min 1
این توسعه پس از یک مطالعه آکادمیک منتشر شده در آگوست ۲۰۲۱ درباره یک مسیر حمله جدید است که از نقاط ضعف در اجرای پروتکل TCP در middlebox‌ها و زیرساخت‌های سانسور برای انجام حملات reflected denial of service (DoS) علیه اهداف سواستفاده می‌کند.

در حالی که حملات تقویت DoS به طور سنتی از مسیر‌های بازتاب UDP سواستفاده می‌کنند (به دلیل ماهیت بدون اتصال پروتکل) تکنیک حمله غیر متعارف از عدم انطباق TCP در middlebox‌هایی مانند ابزار‌های deep packet inspection (DPI) برای انجام حملات تقویت بازتابی مبتنی بر TCP استفاده می‌کند.

گفته می‌شود که اولین موج کمپین‌های حمله «قابل توجه» با بهره‌گیری از این تکنیک در حدود ۱۷ فوریه اتفاق افتاد و مشتریان Akamai را در بانک‌ها، مسافرت‌ها، بازی‌ها، رسانه‌ها و صنایع وب هاستینگ با حجم بالایی از ترافیک که به ۱۱ گیگابیت در ثانیه و ۱. ۵ میلیون بسته در ثانیه (Mpps) به اوج خود رسید، مورد حمله قرار داد.

چاد سیمن، سرپرست تیم تحقیقاتی اطلاعات امنیتی (SIRT) در Akamai، به هکر نیوز گفت: "این وکتور به تنهایی و به عنوان بخشی از کمپین‌های چند مسیره استفاده می‌شود و حجم و اندازه حملات به آرامی در حال افزایش است".

ایده اصلی reflection مبتنی بر TCP، استفاده از middlebox‌هایی است که برای اجرای قوانین سانسور و سیاست‌های فیلتر محتوای سازمانی با ارسال بسته‌های TCP ساخته‌شده ویژه برای ایجاد پاسخ حجمی، استفاده می‌شوند.

در واقع، در یکی از حملات مشاهده شده توسط شرکت امنیت فضای ابری، یک بسته SYN منفرد با یک بار ۳۳ بایتی، پاسخ ۲۱۵۶ بایتی را ایجاد کرد و به طور مؤثر به ضریب تقویت ۶۵ برابری (۶۵۳۳٪) رسید.

سیمن گفت: "نکته اصلی این است که وکتور جدید شروع به مشاهده و سواستفاده در دنیای واقعی و فضای سایبری کرده است. معمولاً این سیگنالی است که احتمالاً با افزایش دانش و محبوبیت در چشم انداز DDoS و شروع به ایجاد ابزار برای استفاده از وکتور جدید، سواستفاده گسترده‌تر از یک وکتور خاص را به دنبال خواهد داشت".

سیمن افزود: "مدافعان باید بدانند که ما از تئوری به مرحله عمل رسیده‌ایم و آن‌ها باید استراتژی‌های دفاعی خود را مطابق با این وکتور جدید که ممکن است به زودی در دنیای واقعی مشاهده کنند، بررسی و بروز کنند".

برچسب ها: تقویت‌, پروتکل, SYN, reflection, Mpps, deep packet inspection, asset, NTP, distributed reflective denial-of-service, DRDoS, BAF, TCP Middlebox Reflection, UDP, ترافیک, MiddleBox, DPI, TCP, سرور, DoS, DNS, Akamai, حملاتDDoS, DDoS, Cyber Security, فایروال, هکر, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ ایمیل