Des attaques par déni de service distribué (DDoS) utilisant une nouvelle technique d’amplification appelée TCP Middlebox Reflection ont été détectées pour la première fois dans la nature, six mois après la présentation théorique du nouveau mécanisme d’attaque.
« L’attaque […] abuse des pare-feu vulnérables et des systèmes de filtrage de contenu pour refléter et amplifier le trafic TCP vers une machine victime, créant une puissante attaque DDoS »,
« Ce type d’attaque abaisse dangereusement la barre des attaques DDoS, car l’attaquant n’a besoin que de 1/75e (dans certains cas) de la quantité de bande passante d’un point de vue volumétrique », ont ajouté les chercheurs.
Un déni de service réfléchissant distribué (DRDoS) est une forme d’attaque par déni de service distribué (DDoS) qui s’appuie sur des serveurs UDP accessibles au public et des facteurs d’amplification de bande passante (BAF) pour submerger le système d’une victime avec un volume élevé d’UDP. réponses.
Dans ces attaques, l’adversaire envoie un flot de requêtes DNS ou NTP contenant une adresse IP source falsifiée à l’actif ciblé, obligeant le serveur de destination à renvoyer les réponses à l’hôte résidant à l’adresse usurpée d’une manière amplifiée qui épuise la bande passante. délivré à la cible.
Le développement fait suite à une étude universitaire publiée en août 2021 sur un nouveau vecteur d’attaque qui exploite les faiblesses de la mise en œuvre du protocole TCP dans les boîtiers de médiation et l’infrastructure de censure pour mener des attaques d’amplification par déni de service (DoS) réfléchies contre des cibles.
Alors que les attaques d’amplification DoS ont traditionnellement abusé des vecteurs de réflexion UDP – en raison de la nature sans connexion du protocole – la technique d’attaque non conventionnelle tire parti de la non-conformité TCP dans les boîtiers de médiation tels que les outils d’inspection approfondie des paquets (DPI) pour organiser des attaques d’amplification réfléchissantes basées sur TCP. .
La première vague de campagnes d’attaques « perceptibles » tirant parti de cette technique se serait produite vers le 17 février, frappant les clients d’Akamai dans les secteurs de la banque, du voyage, des jeux, des médias et de l’hébergement Web avec des volumes de trafic élevés qui ont culminé à 11 Gbps à 1,5 million de paquets par seconde (Mpps).
L’idée centrale de la réflexion basée sur TCP est de tirer parti des boîtiers de médiation utilisés pour appliquer les lois de censure et les politiques de filtrage de contenu d’entreprise en envoyant des paquets TCP spécialement conçus pour déclencher une réponse volumétrique.
En effet, dans l’une des attaques observées par la société de sécurité cloud, un seul paquet SYN avec une charge utile de 33 octets a déclenché une réponse de 2 156 octets, atteignant effectivement un facteur d’amplification de 65x (6 533 %).
« Le principal point à retenir est que le nouveau vecteur commence à voir des abus dans le monde réel dans la nature », a déclaré Seaman. « Généralement, c’est un signal qu’un abus plus répandu d’un vecteur particulier est susceptible de suivre à mesure que les connaissances et la popularité augmentent dans le paysage DDoS et que davantage d’attaquants commencent à créer des outils pour tirer parti du nouveau vecteur. »
« Les défenseurs doivent être conscients que nous sommes passés de la théorie à la pratique, et ils doivent revoir leurs stratégies défensives conformément à ce nouveau vecteur, qu’ils verront peut-être bientôt dans le monde réel ».