Оборудование для государственной цензуры способно существенно усиливать DDoS-атаки

Уязвимости в реализации протокола TCP в промежуточных устройствах и инфраструктуре цензуры могут использоваться для осуществления отраженных усиленных DDoS-атак на любые цели. Атаки с их эксплуатацией превосходят многие из существующих на сегодняшний день коэффициентов усиления на основе UDP.

Как сообщила команда специалистов Мэрилендского университета и Колорадского университета в Боулдере на конференции USENIX Security Symposium, проходившей ранее в этом месяце, такие волюметрические атаки базируются на использовании несовместимости TCP в сетевых промежуточных устройствах, таких как межсетевые экраны, системы предотвращения вторжения и DPI-системы, для усиления сетевого трафика. В атаке могут использоваться сотни тысяч IP-адресов, предлагающих коэффициенты усиления, превышающие коэффициенты, обеспечиваемые DNS, NTP и Memcached.

Исследование специалистов Мэрилендского университета и Колорадского университета в Боулдере является первым в истории, описывающим технику отражения и усиления DDoS-атаки с помощью протокола TCP путем злоупотребления некорректной конфигурацией промежуточных устройств.

Традиционно техники усиления DDoS-атак базируются на использовании UDP из-за сложностей, связанных с трехсторонним рукопожатием TCP для установки соединения TCP/IP по сети на основе IP (SYN, SYN+ACK и ACK). Однако исследователи обнаружили, что большое количество сетевых промежуточных устройств не соответствуют стандарту TCP и могут «отвечать на поддельные цензурируемые запросы большими страницами блокировки даже в отсутствие действительного TCP-соединения или рукопожатия», что превращает устройства в привлекательные цели для DDoS-атак с усилением.

«Промежуточные устройства часто спроектированы несоответствующими TCP. Многие промежуточные устройства пытаются поддерживать асимметричную маршрутизацию, при которой им видно только одно направление пакетов в соединении (например, от клиента к серверу). Однако эта функция делает их открытой для атак – если промежуточные устройства внедряют контент, основанный только на одной стороне соединения, атакующий может подделать одну сторону трехстороннего рукопожатия TCP и убедить промежуточное устройство в наличии действительного соединения», – пояснили исследователи.

Другими словами, техника основывается на том, чтобы вынудить промежуточное устройство внедрить ответ без завершения трехстороннего рукопожатия. Далее атакующий может использовать его для доступа к запрещенным доменам (порносайтам, online-казино, файлообменникам и пр.), и промежуточное устройство будет отвечать страницами блокировки, значительно превышающими по размеру цензурированные запросы, таким образом будет происходить усиление DDoS-атаки.

Что еще хуже, усиленные ответы могут необязательно поступать только с промежуточных устройств. Немалая часть оборудования для инспектирования сети является частью правительственного аппарата цензуры.