Hackers usam nova forma de ataque DDoS para derrubar sites

Hackers usam nova forma de ataque DDoS para derrubar sites
ddos

Os invasores espalhados pelo mundo que atuam na negação de serviço (DDoS) estão usando uma nova técnica para derrubar sites offline. O objetivo deste pessoal são os ‘middleboxes’ vulneráveis, como firewalls. Deste modo, eles conseguem amplificar os ataques de tráfego indesejado. 

Os ataques de amplificação não são novidade. Eles ajudaram os invasores a derrubar servidores com curtos períodos de tráfego de até 3,47 Tbps. A Microsoft mitigou no ano passado ataques nessa escala que foram resultado da competição entre jogadores online. 

No entanto, há um novo ataque no horizonte. Quem revela isso é a Akamai, uma empresa de rede de distribuição de conteúdo. Segundo esta empresa, há uma onda recente de ataques usando o “TCP Middlebox Reflection”, referindo-se ao protocolo de controle de transmissão (TCP) –  um protocolo fundador para comunicações seguras na Internet entre máquinas em rede. Os ataques atingiram 11 Gbps a 1,5 milhão de pacotes por segundo (Mpps), segundo a Akamai.

A técnica de amplificação foi revelada em um trabalho de pesquisa em agosto passado , que mostrou que os invasores podem abusar de middleboxes como firewalls via TCP para ampliar ataques de negação de serviço. O artigo foi de pesquisadores da Universidade de Maryland e da Universidade de Colorado Boulder.

Hackers usam nova forma de ataque DDoS para derrubar sites

A maioria dos ataques DDoS abusam do User Datagram Protocol (UDP) para amplificar a entrega de pacotes, geralmente enviando pacotes para um servidor que responde com um tamanho de pacote maior, que é então encaminhado para o destino pretendido pelo invasor. 

O ataque TCP tira proveito de middleboxes de rede que não estão em conformidade com o padrão TCP. Os pesquisadores encontraram centenas de milhares de endereços IP que poderiam amplificar os ataques em mais de 100 vezes utilizando firewalls e dispositivos de filtragem de conteúdo. 

Então, o que era um ataque teórico há apenas oito meses agora é uma ameaça real e ativa. 

A amplificação de DDoS do middlebox é um tipo totalmente novo de ataque de reflexão/amplificação de TCP que é um risco para a Internet. Esta é a primeira vez que observamos essa técnica em estado selvagem, diz em um blogpost

Firewalls e dispositivos middlebox semelhantes de empresas como Cisco, Fortinet, SonicWall e Palo Alto Networks são peças-chave da infraestrutura de rede corporativa. No entanto, algumas caixas intermediárias não validam adequadamente os estados de fluxo TCP ao aplicar políticas de filtragem de conteúdo. 

Essas caixas podem ser feitas para responder a pacotes TCP fora do estado. Essas respostas geralmente incluem conteúdo em suas respostas destinadas a “seqüestrar” navegadores clientes na tentativa de impedir que os usuários acessem o conteúdo bloqueado. Essa implementação TCP quebrada pode por sua vez, ser abusado para refletir o tráfego TCP, incluindo fluxos de dados, para vítimas de DDoS por invasores, observa Akamai. 

Outros detalhes

Hackers usam nova forma de ataque DDoS para derrubar sites

Os invasores podem abusar dessas caixas falsificando o endereço IP de origem da vítima pretendida para direcionar o tráfego de resposta das caixas intermediárias. 

No TCP, as conexões usam o sinalizador de controle de sincronização (SYN) para trocar mensagens de chave para um handshake de três vias. Os invasores abusam da implementação do TCP em alguns middelboxes que os fazem responder inesperadamente às mensagens do pacote SYN. Em alguns casos, a Akamai observou que um único pacote SYN com uma carga útil de 33 bytes produzia uma resposta de 2.156 bytes, ampliando seu tamanho em 6.533%.   

Via ZDNet

Acesse a versão completa
Sair da versão mobile