Основная статья: DDoS-атаки
2022: Появление метода TCP Middlebox Reflection
В марте 2022 года стало известно о новом методе DDoS-атак, использующем преимущества сетевых промежуточных ящиков для осуществления усиления отражения по протоколу сетевой модели передачи данных. Прием получил название TCP Middlebox Reflection, атаки с его помощью могут иметь мощность 11 Гбит/с и 1,5 млн пакетов в секунду.
Результаты, полученные Akamai, показывают, что злоумышленники начинают добавлять в свой арсенал отражение по одному из основных протоколов передачи данных в интернете (TCP) и, возможно, оттачивают технологию для более масштабных атак. Атака с усилением отражения - это атака, в которой злоумышленник выдает себя за жертву, посылает запрос на открытый сервер, а сервер посылает жертве ответ, который намного больше, чем запрос. Было проведено несколько крупных атак отражения на такие протоколы, как DNS, NTP и Memcached. Но атаки на отражение исторически ограничивались UDP, поскольку он не имеет соединения и не требует первоначальной настройки между сервером и клиентом.
Исследователи показали, что злоумышленники могут запустить промежуточные устройства, подменив IP-адрес жертвы и запросив отфильтрованную веб-страницу. Затем промежуточный модуль отправляет свою отфильтрованную страницу ответа жертве без прохождения процесса рукопожатия TCP. Атака имеет ту же силу, что и ее UDP-эквивалент, и в некоторых случаях промежуточный блок и жертва могут бесконечно усиливать атаку.
Akamai обнаружила реальные случаи атак усиления отражения TCP в сетях своих клиентов. В одном случае один пакет SYN с полезной нагрузкой 33 байта вызвал ответ размером 2,1 тыс. байт, что соответствует усиления атаки в 65 раз. В другом случае один запрос злоумышленника заставил промежуточный сервер и жертву застрять в бесконечном цикле самовоспроизводящегося усиления. Первые атаки, которые наблюдала компания, достигали пиковой скорости в 50 Мбит/с. Однако участники атак постепенно оттачивали и совершенствовали свои методы, и в результате их уже другие аналогичные атаки достигли пиков в 2,7 Гбит/с и 11 Гбит/с. В своем исследовании специалисты из Akamai обнаружили, что существуют миллионы IP-адресов, которые можно представить так, как будто они являются источниками этих атак, что значительно усложняет задачу операторов по пресечению DDoS-атак путем простой блокировки IP-адресов.
Akamai предупреждает, что хотя атаки с усилением отражения TCP-среднего ящика все еще относительно малы, злоумышленники начинают подхватывать технику атак через средний ящик и использовать ее в качестве еще одного инструмента в своем арсенале DDoS. Этот вектор атаки расширяет инструментарий злоумышленников и предоставляет еще один метод, помогающий им нарушить работу интернета. На март 2022 года объектами атак стали банковские, туристические, игровые, медиа и веб-хостинговые отрасли, но исследователи ожидают, что разнообразие целей будет расти по мере роста популярности этой техники атак. Специалисты по информационной безопасности из Cloudflare, советуют сместить экономический баланс атак в пользу жертв, рекомендуется защищать свои интернет-услуги с помощью постоянно включенной автоматизированной службы защиты от DDoS с достаточной мощностью.[1]