Những điểm yếu trong việc triển khai giao thức TCP trong các hộp trung gian và cơ sở hạ tầng kiểm duyệt có thể dùng như một vector đến từng giai đoạn phản ánh các cuộc tấn công từ chối dịch vụ (DoS) chống lại bất kỳ mục tiêu nào, vượt qua nhiều yếu tố khuếch đại dựa trên UDP hiện có cho đến nay.
Được trình bày chi tiết bởi một nhóm học giả từ Đại học Maryland và Đại học Colorado Boulder tại Hội nghị chuyên đề về bảo mật USENIX, các cuộc tấn công tích cực lợi dụng các hộp trung gian trong mạng TCP – chẳng hạn như tường lửa, hệ thống ngăn chặn xâm nhập và gói phân tích sâu (DPI) – để phân tán lưu lượng mạng, với hàng trăm nghìn địa chỉ IP cung cấp các hệ số phân tán vượt quá các yếu tố từ DNS, NTP và Memcached.
Nghiên cứu đã nhận được Giải thưởng xuất sắc tại hội nghị, là nghiên cứu đầu tiên thuộc loại này mô tả kỹ thuật thực hiện các cuộc tấn công từ chối dịch vụ phân tán DDoS qua giao thức TCP bằng cách tận dụng các cấu hình sai hộp trung gian trong tự nhiên, một phương pháp trước đây được coi là hiệu quả để ngăn chặn các cuộc tấn công giả mạo.
Các cuộc tấn công phân tán được phản ánh là một loại tấn công DoS. Trong đó, kẻ tấn công lợi dụng tính chất không kết nối của giao thức UDP với các yêu cầu giả mạo để định cấu hình sai các máy chủ mở nhằm áp đảo máy chủ mục tiêu hoặc mạng với nhiều gói tin, gây gián đoạn hoặc hiển thị máy chủ và cơ sở hạ tầng xung quanh không thể tiếp cận được. Điều này thường xảy ra khi phản hồi từ dịch vụ dễ bị tấn công lớn hơn yêu cầu giả mạo, sau đó có thể được tận dụng để gửi hàng nghìn yêu cầu này, do đó phân tán đáng kể kích thước và băng thông được cấp cho mục tiêu.
Mặc dù tấn công từ chối dịch vụ DoS theo truyền thống dựa trên UDP do các phức tạp phát sinh từ quá trình bắt tay ba bước của TCP để thiết lập kết nối TCP / IP qua mạng dựa trên IP (SYN, SYN + ACK và ACK), các nhà nghiên cứu nhận thấy rằng một số lượng lớn các hộp trung gian mạng không tuân theo tiêu chuẩn TCP và chúng có thể “phản hồi các yêu cầu giả mạo được kiểm duyệt với các trang khối lớn, ngay cả khi không có kết nối TCP hợp lệ hoặc bắt tay”, biến các thiết bị trở thành mục tiêu hấp dẫn cho các cuộc tấn công từ chối dịch vụ DoS.
“Các hộp trung gian thường không tuân thủ TCP theo thiết kế: nhiều hộp trung gian cố gắng xử lý định tuyến không đối xứng, trong đó hộp trung gian chỉ có thể nhìn thấy một hướng của các gói trong một kết nối (ví dụ: máy khách đến máy chủ). Nhưng nếu hộp trung gian chỉ đưa nội dung dựa trên một bên của kết nối, kẻ tấn công có thể giả mạo một bên của quá trình bắt tay ba bước TCP và thuyết phục hộp trung gian có một kết nối hợp lệ.”
Nói cách khác, cơ chế xoay quanh việc lừa hộp trung gian đưa vào một phản hồi mà không hoàn thành quá trình bắt tay ba bước, sau đó sử dụng nó để truy cập vào tên miền bị cấm như nội dung khiêu dâm, cờ bạc và các trang web chia sẻ tệp, khiến hộp trung gian phản hồi bằng một trang chặn, sẽ lớn hơn nhiều so với các yêu cầu đã được kiểm duyệt, do đó dẫn đến sự khuếch đại.
Hơn nữa, không chỉ các phản hồi phân tán này chủ yếu đến từ các hộp trung gian, một phần trong số các thiết bị kiểm tra mạng đó là bộ máy kiểm duyệt quốc gia, làm nổi bật vai trò của cơ sở hạ tầng như vậy trong việc cho phép các chính phủ ngăn chặn quyền truy cập thông tin trong biên giới của họ và tệ hơn, cho phép kẻ thù vũ khí hóa các thiết bị mạng để tấn công bất kỳ nạn nhân nào trên internet.
Các nhà nghiên cứu cho biết: “Cơ sở hạ tầng kiểm duyệt quốc gia được đặt tại các ISP tốc độ cao và có khả năng gửi và đưa dữ liệu vào ở băng thông cực kỳ cao. Điều này cho phép kẻ tấn công từ chối dịch vụ phân tán một lượng lớn lưu lượng truy cập mà không phải lo lắng về độ bão hòa của bộ khuếch đại. Hơn nữa, nhóm địa chỉ IP nguồn khổng lồ có thể được sử dụng để kích hoạt các cuộc tấn công DDoS khiến nạn nhân khó có thể đơn giản chặn một số ít bộ phản xạ. Nation-state các nhà kiểm duyệt biến mọi địa chỉ IP có thể định tuyến (sic) trong quốc gia của họ thành một bộ phân tán tiềm năng. “
Các hộp trung gian giới thiệu một mối đe dọa bất ngờ, chưa được khai thác mà những kẻ tấn công có thể tận dụng để khởi động các cuộc tấn công DoS mạnh mẽ. Bảo vệ Internet khỏi những mối đe dọa này sẽ đòi hỏi nỗ lực phối hợp của nhiều nhà sản xuất và khai thác hộp trung gian.
Fanpage: Trí Việt JSC (Theo thehackernews)
