Os invasores de negação de serviço distribuído (DDoS) estão usando um novo truque DDoS para colocar sites offline, visando “middleboxes” vulneráveis, como firewalls, para amplificar ataques de tráfego indesejados.
🚨DICA: Crie um projeto de programação web com HTML5, CSS3 e JavaScript do zero em 3 aulas: MiniCurso Gratuito! 🚀
Os ataques de amplificação não são novidade e ajudaram os invasores a derrubar servidores com rajadas curtas de até 3,47 Tbps. A Microsoft mitigou um ataque dessa magnitude no ano passado, resultado da competição entre os jogadores online.
Mas novos ataques estão chegando. A Akamai, uma empresa de rede de entrega de conteúdo, disse que recentemente viu uma onda de ataques usando “TCP Middlebox Reflection”, referindo-se ao Transmission Control Protocol (TCP), o protocolo subjacente para comunicação segura na Internet entre máquinas em uma rede. Segundo a Akamai, os ataques atingiram 11 Gbps a uma taxa de 1,5 milhão de pacotes por segundo (Mpps).
Akamai Technologies, Inc. é uma empresa de Internet americana, sediada em Cambridge, Massachusetts. Wikipédia
A técnica de amplificação foi divulgada em um trabalho de pesquisa em agosto passado que mostrou que os invasores podem amplificar os ataques de negação de serviço abusando de middleboxes, como firewalls, por meio de TCP. Este artigo foi escrito por pesquisadores da Universidade de Maryland e da Universidade do Colorado em Boulder.
A maioria dos ataques DDoS abusam do User Datagram Protocol (UDP) para amplificar a entrega de pacotes, geralmente enviando o pacote para um servidor que responde com um tamanho de pacote maior e, em seguida, encaminhando-o para o destino pretendido pelo invasor.
Os ataques TCP tiram proveito de middleboxes de rede que não estão em conformidade com o padrão TCP. Os pesquisadores descobriram que centenas de milhares de endereços IP podem amplificar os ataques em mais de 100 vezes usando firewalls e dispositivos de filtragem de conteúdo.
Então, o que era um ataque teórico apenas oito meses atrás, agora se tornou uma ameaça real e ativa.
“A amplificação de DDoS de middlebox é um tipo totalmente novo de ataque de reflexão/amplificação de TCP que representa um risco para a Internet. Esta é a primeira vez que vemos essa técnica em estado selvagem”, disse em um post de blog.
Firewalls e dispositivos middlebox semelhantes de empresas como Cisco, Fortinet, SonicWall e Palo Alto Networks são uma parte crítica da infraestrutura de rede de uma empresa. No entanto, alguns middleboxes não validam adequadamente o estado do fluxo TCP ao aplicar políticas de filtragem de conteúdo.
“Essas caixas podem ser usadas para responder a pacotes TCP fora do estado. Essas respostas geralmente contêm conteúdo em suas respostas projetado para “sequestrar” o navegador do cliente na tentativa de impedir que o usuário acesse o conteúdo bloqueado. Essa implementação TCP quebrada Por sua vez, pode ser abusado por invasores para espelhar o tráfego TCP, incluindo fluxos de dados, para vítimas de DDoS”, observou Akamai.
Os invasores podem abusar dessas caixas falsificando o endereço IP de origem da vítima de destino para direcionar o tráfego de resposta da caixa intermediária.
No TCP, as conexões usam o sinalizador de controle de sincronização (SYN) para trocar mensagens de chave para um handshake de três vias. Os invasores estão abusando das implementações de TCP em alguns middleboxes, fazendo com que eles respondam inesperadamente a mensagens de pacotes SYN. Em alguns casos, a Akamai observou que um único pacote SYN com uma carga útil de 33 bytes produzia uma resposta de 2.156 bytes, um aumento de 6.533% no tamanho.
Leia também: Atalhos do Windows que você precisa conhecer
