DDoS攻击再进化：封包能放大 65 倍的TCP Middlebox Reflection

最近几周，国外研究人员观察到多次分布式拒绝服务 (Distributed Denial of Service, DDoS) 攻击活动，其中包括 SYN 洪水(SYN Flooding)攻击等大流量攻击，最高流量可达 11 Gbps。研究人员在分析这几次DDoS攻击中使用的封包之后，发现黑客正在使用一种称为 TCP Middlebox Reflection的新技术[1]。这是一种非常新的攻击手法，于 2021 年 8 月在马里兰大学和科罗拉多大学博尔德分校的研究人员撰写的一篇论文中首次被提出[2]，黑客可以轻松的将攻击封包流量放大 65 倍，这将对网络设备构成严重威胁[3]。
 

以往DDoS攻击大多搭配放大攻击(Amplification Attack)技术，让黑客可以产生比原本所发出的封包数倍、甚至是数十倍大的封包流量进行攻击。目前常见用于执行放大攻击包括网域名称系统(DNS)、简单网络管理通讯协议(SNMP)、网络时间协议(NTP)及通用即插即用协议(UPnP)等基于UDP通讯的通讯协议，利用UDP通讯协议的特性，攻击者可将来源IP位址伪装成受害主机，攻击主机只要发送一个简单的查询封包给服务器(Server)，之后服务器便会将大量的资料内容回传给受害主机。攻击者便可利用放大攻击手法，同时让数十万台甚至数百万台的主机同时发出查询封包，即可发动一次具有相当规模的DDoS攻击。

以往攻击者大多使用UDP-Based Reflection方式作攻击，因为UDP通讯协议无需和服务器建立连接即可进行资料传输，而TCP通讯协议则是需要先跟服务器进行TCP三次握手(TCP 3-way Handshake)，且因TCP三次握手的特性，使得攻击者无法在伪造来源IP位址的情况下与服务器完成TCP三次握手。TCP Middleboxes Reflection攻击技术的出现，利用防火墙、入侵防御/侦测系统及网页内容过滤产品等具备报文内容检查功能的网络装置，具备较好的报文容错能力，对于未依据TCP协议方式传送的报文内容仍然会允许接受与转送至目的IP位址，攻击者即可利用此特性使用TCP连线发起反射式放大攻击。
 

Akamai 安全情报研究团队负责人 Chad Seaman 指出，TCP Middlebox Reflection攻击的规模正逐渐成长。使用此技术的第一波攻击活动可能始于 2 月中旬。这些攻击袭击了包含网络托管、媒体、旅游、银行和游戏服务的网站服务器。虽然目前为止观察到利用此技术的攻击相对较少，但利用规模确实在持续增长中，安全研究团队预测攻击者将会进一步尝试改进和扩大攻击。

随着这项新的攻击手法增加了执行 DDoS攻击手法的变化，企业应依据各种攻击途径与手法，检视自身的安全防御策略，以更弹性、更完备的准备应对挑战。
 

仲至信息通过自主研发的分布式拒绝服务 (DDoS) 攻击平台提供演练服务，模拟来自国内外的DDoS攻击。该平台整合多个国际知名云端基础架构服务业者，最高可模拟2,000个不同来源IP位址，进行400G字节网络流量或100万个应用程序连线的DDoS演练服务，客户可依其需求自行定义演练过程所需要的流量、连线数、IP数及执行时间，并能设计多个演练情境在指定时间自动执行，以验证网站或应用程序等目标系统与DDoS防御机制的可用性与有效性。通过DDoS演练服务，企业可从过程中发现，在不同阶段目标系统的反应状况，演练结束后可以参考演练过程所设计的情境，作为企业后续规划系统架构效能调校，及拟定DDoS缓解与应变措施的依据。