去年8月,学术研究人员发现了一种强大的新方法可以使网站瘫痪:由超过10万台配置错误的服务器组成一支舰队,可以将垃圾数据流放大到匪夷所思的规模。在许多情况下,这样的攻击可能会导致无限的路由循环,从而造成自身不断延续的流量泛滥。内容分发网络Akamai表示,攻击者正在利用这些服务器来攻击银行、旅游、游戏、媒体和网络托管行业的网站。
这些服务器被称为“中间盒”,由大型机构部署,旨在屏蔽那些推送色情、赌博和盗版下载内容的网站。这些服务器没有按照传输控制协议(TCP)规定的那样,在建立连接之前进行三方握手——包括客户端发送的SYN数据包、服务器的SYN+ACK响应、客户端的确认ACK数据包。
这种握手有助于防止基于TCP的应用程序被滥用为放大器,因为ACK确认必须来自游戏公司或其他目标,而不是攻击者欺骗目标的IP地址。但考虑到需要处理非对称路由,在这种情况下,中间盒可以监控从客户端传递的数据包,但不包括受到审查或屏蔽的最终目的地,许多这样的服务器在设计上就没有考虑这种要求。
为了最大限度地提高破坏力和节约资源,DDoS攻击者往往通过放大载体来加强攻击火力。放大的原理是欺骗目标的IP地址,并在配置错误的服务器上回弹相对少量的数据,用于解析域名、同步计算机时钟或加速数据库缓存。由于服务器自动发送的响应比请求大几十倍、几百倍乃至几千倍,这使得被欺骗的目标不堪重负。
研究人员表示,他们发现的中间盒里至少有10万个超过了DNS服务器的放大系数(约54倍)和网络时间协议服务器的放大系数(约556倍)。研究人员还表示,他们发现了数百个服务器对于流量的放大倍数比使用memcached的错误配置服务器还高。memcached是一个用于加快网站速度的数据库缓存系统,可以使流量增幅达到惊人的51,000倍。
稿件来源:https://arstechnica.com/information-technology/2022/03/unending-data-floods-and-complete-resource-exhaustion-ddoses-get-meaner/
文章评论