Quel metodo che ritorna in mente durante l’attacco sferrato da Anonymous contro la Russia di quel Putin che ha deciso di invadere l’Ucraina, potrebbe essere molto più allarmante di quanto non lo sia adesso.
C’è un nuovo modo in cui gli aggressori possono lanciare attacchi di amplificazione denial of service (DoS) riflessi su TCP, abusando dei middlebox e dell’infrastruttura di censura.
Questi attacchi hacker possono produrre un’amplificazione di ordini di grandezza maggiore rispetto agli attacchi basati su UDP esistenti. C’è il primo attacco di amplificazione riflessa su TCP che va oltre l’invio di SYNpacchetti e il primo attacco di amplificazione riflessa basato su HTTP.
La nuova tecnica TCP Middlebox Reflection
Ma nell’ultimo periodo sono stati riscontrati diversi altri tipi di configurazione errata del middlebox in natura, che possono portare a un’amplificazione tecnicamente infinita per un hacker: inviando un singolo pacchetto, infatti, l’aggressore può avviare un flusso infinito di pacchetti a chi ha deciso di aggredire.
L’infrastruttura della censura rappresenta una minaccia costanza per Internet, più ampia di quanto si pensasse in precedenza. Anche implementazioni benigne di firewall e sistemi di prevenzione delle intrusioni in stati-nazione non censurabili possono essere con la nuova tecnica.
Nell’ultima settimana, i ricercatori sulla sicurezza di Akamai hanno rilevato e analizzato una serie di attacchi di riflessione TCP, con picchi di 11 Gbps a 1,5 Mpps, che sono stati lanciati contro i clienti Akamai. L’attacco, amplificato con una tecnica chiamata TCP Middlebox Reflection, abusa dei firewall vulnerabili e dei sistemi di filtraggio dei contenuti per riflettere e amplificare il traffico TCP verso una macchina vittima, creando un potente attacco DDoS.
La nuova tecnica era già stata rivelata, lo scorso agosto, dai ricercatori dell’Università del Maryland e dell’Università del Colorado, ma è questo il periodo in cui si sta espandendo. Questo tipo di attacco abbassa pericolosamente il livello degli attacchi DDoS, poiché l’attaccante ha bisogno di appena 1/75 (in alcuni casi) della quantità di larghezza di banda da un punto di vista volumetrico.
Alcune implementazioni middlebox consentono agli aggressori di aggiungere SYN, ACK o PSH+ACK flooding all’attacco, oltre all’attacco volumetrico TCP. Sono stati osservati attacchi contro organizzazioni nei settori bancario, dei viaggi, dei giochi, dei media e dell’hosting web.
Sebbene l’attuale traffico di attacchi sia relativamente ridotto, si sta sempre più ingrandendo a livello quantitativo, a causa della notevole amplificazione che offre a un utente malintenzionato. Gli attacchi DDoS sono largamente utilizzati, da diversi anni, con il fine di mandare in down un sito o un servizio web, travolgendolo con un così grande numero di richieste che la vittima non può gestire.
