Akamai披露借道中間設(shè)備以展開DDoS放大攻擊的真實案例

去年8月，一群研究人員發(fā)布了《讓中間設(shè)備成為TCP反射攻擊的武器》（Weaponizing Middleboxes for TCP Reflected Amplification）研究報告，指出諸如防火墻中內(nèi)容過濾系統(tǒng)等中間設(shè)備，可能會被用來進(jìn)行TCP反射攻擊，而安全企業(yè)Akamai今年就看到了許多真實的攻擊案例，而該新興的分布式服務(wù)阻斷攻擊（DDoS）形態(tài)最多將可放大75倍的攻擊流量。

中間設(shè)備指的是放置于通信兩端之間的設(shè)備，最常見的是防火墻與內(nèi)容過濾系統(tǒng)，研究人員發(fā)現(xiàn)某些中間設(shè)備在執(zhí)行內(nèi)容過濾政策時，并未考慮TCP流媒體狀態(tài)，代表這些設(shè)備可回應(yīng)狀態(tài)外的TCP封包，相關(guān)的回應(yīng)包含避免用戶訪問被封鎖的內(nèi)容，進(jìn)而造成DDoS攻擊，有些設(shè)備的放大能量甚至超越UDP洪水攻擊，估計全球存在著數(shù)十萬臺可能遭到濫用的中間設(shè)備。

利用中間設(shè)備進(jìn)行DDoS放大攻擊原本只是理論，但Akamai今年就已看到實際的攻擊行動，受害者遍布金融、旅游、游戲、媒體到網(wǎng)絡(luò)托管等產(chǎn)業(yè)。

Akamai指出，黑客可以偽裝成受害者的IP，發(fā)送包含遭封鎖之HTTP請求標(biāo)題的各種TCP封包，中間設(shè)備收到這些封包之后便會產(chǎn)生回應(yīng)，在其中一個攻擊案例中，黑客只發(fā)送了一個33位元酬載的封包，就觸發(fā)了2,156位元的回應(yīng)，放大率為65倍。

過去黑客要執(zhí)行體積型的TCP DDoS攻擊必須先訪問大量的機(jī)器與帶寬，但借道中間設(shè)備卻只需要很小的攻擊力道，就能獲得數(shù)十倍的攻擊成效，降低了攻擊門檻。

目前Akamai所觀察到的中間設(shè)備DDoS放大攻擊的案例并不多，攻擊力道也不大，不過，最早利用該技術(shù)的巔峰攻擊流量只有50Mbps，而最近一次的攻擊流量便已增長到11Gbps，顯示黑客正在逐步測試與擴(kuò)大攻擊能量。

研究人員則于報告中警告，防御中間設(shè)備攻擊并不容易，由于中間設(shè)備可接受假冒的地址，使得黑客得以冒充任何位于中間設(shè)備之后的IP地址展開攻擊，若受害者規(guī)模不大，可能只有少數(shù)IP受到影響，但若受害者是個國家的監(jiān)控系統(tǒng)，那么該國境內(nèi)的任何IP都有可能遭到此類的DDoS反射攻擊。