[ad_1]
Kevin Bock, o fundamental pesquisador por trás da pesquisa de agosto papeldisse que os atacantes DDoS tinham muitos incentivos para reproduzir os ataques que sua equipe havia teorizado.
“Infelizmente, não ficamos surpresos”, ele me disse, ao saber dos ataques ativos. “Esperávamos que fosse apenas uma questão de pace até que esses ataques fossem realizados na natureza porque são fáceis e altamente eficazes. Talvez o pior de tudo é que os ataques são novos; como resultado, muitos operadores ainda não possuem defesas, o que o torna muito mais atraente para os invasores.”
Uma das middleboxes recebeu um pacote SYN com uma carga útil de 33 bytes e respondeu com uma resposta de 2.156 bytes. Isso se traduziu em um fator de 65x, mas a amplificação tem potencial para ser muito maior com mais trabalho.
Os pesquisadores da Akamai escreveram:
Os ataques TCP volumétricos anteriormente exigiam que um invasor tivesse acesso a muitas máquinas e muita largura de banda, normalmente uma enviornment reservada para máquinas muito robustas com conexões de alta largura de banda e recursos de falsificação de fonte ou botnets. Isso porque até agora não houve um ataque de amplificação significativo para o protocolo TCP; uma pequena quantidade de amplificação foi possível, mas foi considerada quase insignificante, ou no mínimo inferior e ineficaz quando comparada com as alternativas UDP.
Se você quisesse casar uma inundação de SYN com um ataque volumétrico, precisaria enviar uma proporção de 1:1 de largura de banda para a vítima, geralmente na forma de pacotes SYN preenchidos. Com a chegada da amplificação do middlebox, essa compreensão de longa knowledge dos ataques TCP não é mais verdadeira. Agora, um invasor precisa de apenas 1/75 (em alguns casos) da quantidade de largura de banda do ponto de vista volumétrico e, devido a peculiaridades com algumas implementações de middlebox, os invasores obtêm uma inundação de SYN, ACK ou PSH + ACK gratuitamente.
Tempestades de Pacotes Infinitas e Exaustão Completa de Recursos
Outro middlebox que a Akamai encontrou, por razões desconhecidas, respondeu aos pacotes SYN com vários pacotes SYN próprios. Os servidores que seguem as especificações TCP nunca devem responder dessa maneira. As respostas do pacote SYN foram carregadas com dados. Pior ainda, o middlebox desconsiderou completamente os pacotes RST enviados da vítima, que deveriam encerrar uma conexão.
Também preocupante é a descoberta da equipe de pesquisa de Bock de que alguns middleboxes responderão quando receberem algum pacote adicional, incluindo o RST.
“Isso cria uma tempestade infinita de pacotes”, escreveram os pesquisadores acadêmicos em agosto. “O invasor elicia uma única página de bloqueio para uma vítima, o que causa um RST da vítima, que causa uma nova página de bloqueio do amplificador, que causa um RST da vítima, and so on. O caso sustentado pela vítima é especialmente perigoso para dois razões. Primeiro, o comportamento padrão da vítima sustenta o ataque a si mesma. Segundo, esse ataque faz com que a vítima inunde seu próprio uplink enquanto inunda o downlink.”
A Akamai também forneceu uma demonstração mostrando os danos que ocorrem quando um invasor tem como alvo uma porta específica que executa um serviço baseado em TCP.
“Esses pacotes SYN direcionados a um aplicativo/serviço TCP farão com que esse aplicativo tente responder com vários pacotes SYN + ACK e mantenha as sessões TCP abertas, aguardando o restante do handshake de três vias”, explicou Akamai. “Como cada sessão TCP é mantida nesse estado semi-aberto, o sistema consumirá soquetes que, por sua vez, consumirão recursos, potencialmente até o ponto de esgotamento completo dos recursos.”
Infelizmente, não há nada que os usuários finais típicos possam fazer para bloquear a amplificação de DDoS que está sendo explorada. Em vez disso, os operadores de middlebox devem reconfigurar suas máquinas, o que é improvável em muitos casos. Exceto isso, os defensores da rede devem mudar a maneira como filtram e respondem aos pacotes. Tanto a Akamai quanto os pesquisadores acadêmicos fornecem instruções muito mais detalhadas.
Esta história apareceu originalmente em Ars Technica.
Mais ótimas histórias WIRED
.
[ad_2]
Fonte da Notícia
