TCP Middlebox Reflection for Amplified DDoS Attacks

https://thehackernews.com/2022/03/hackers-begin-weaponizing-tcp-middlebox.html

Hackers Begin Weaponizing TCP Middlebox Reflection for Amplified DDoS Attacks

TCP 미들박스 리플렉션 이라는 새로운 증폭 기술을 활용하는 DDoS(분산 서비스 거부) 공격 이 이론상 새로운 공격 메커니즘이 제시된 지 6개월 만에 처음으로 탐지되었습니다.

 

이 개발은 2021년 8월에 발표된 학술 연구 에 따라 미들박스 및 검열 인프라에서 TCP 프로토콜 구현의 약점을 악용하여 대상에 대해 반사된 서비스 거부(DoS) 증폭 공격을 수행 하는 새로운 공격 벡터에 대한 것 입니다.

DoS 증폭 공격은 프로토콜의 비연결성 특성으로 인해 전통적으로 UDP 반사 벡터를 남용했지만, 비전통적인 공격 접근 방식은 TCP 기반 반사 증폭 공격을 준비하기 위한 심층 패킷 검사( DPI ) 도구 와 같은 미들박스에서 TCP 비준수를 이용합니다. .

이 방법을 이용하는 "눈에 띄는" 공격 캠페인의 첫 번째 물결이 2월 17일경에 발생했다고 합니다. 이 공격은 2월 17일경에 11Gbps에 달하는 대량의 트래픽으로 은행, 여행, 게임, 미디어 및 웹 호스팅 산업 전반에 걸쳐 Akamai 고객을 강타했습니다. 초당 150만 패킷(Mpps).

Akamai의 보안 인텔리전스 연구 팀(SIRT)의 책임자인 Chad Seaman은 Hacker News에 "이 벡터는 공격 규모가 서서히 증가하면서 단독으로 그리고 다중 벡터 캠페인의 일부로 사용되는 것으로 나타났습니다."라고 말했습니다.

 

TCP 기반 리플렉션의 핵심 아이디어는 특수하게 조작된 TCP 패킷을 전송하여 체적 응답을 트리거함으로써 검열법 및 엔터프라이즈 콘텐츠 필터링 정책을 시행하는 데 사용되는 미들박스를 활용하는 것입니다.

실제로 클라우드 보안 회사에서 관찰한 공격 중 하나에서 33바이트 페이로드가 있는 단일 SYN 패킷 이 2,156바이트 응답을 트리거하여 65배(6,533%)의 증폭 계수를 효과적으로 달성했습니다.

Seaman은 "주요 시사점은 새로운 벡터가 야생에서 실제 학대를 보기 시작했다는 것입니다."라고 말했습니다. "일반적으로 이것은 DDoS 환경 전반에 걸쳐 지식과 ​​인기가 증가하고 더 많은 공격자가 새로운 벡터를 활용하기 위한 도구를 만들기 시작함에 따라 특정 벡터의 더 광범위한 남용이 따를 가능성이 있다는 신호입니다."

Seaman은 "수비수는 우리가 이론에서 실습으로 이동했음을 알아야 하며 이 새로운 벡터에 따라 수비 전략을 검토해야 합니다. 곧 현실 세계에서 보게 될 것입니다."라고 덧붙였습니다.