Serangan penolakan layanan (DDoS) terdistribusi yang memanfaatkan teknik amplifikasi baru yang disebut TCP Middlebox Reflection telah terdeteksi untuk pertama kalinya di alam liar, enam bulan setelah mekanisme serangan baru disajikan secara teori.
"Serangan [...] menyalahgunakan firewall yang rentan dan sistem penyaringan konten untuk mencerminkan dan memperkuat lalu lintas TCP ke mesin korban, menciptakan serangan DDoS yang kuat," kata peneliti Akamai dalam sebuah laporan yang diterbitkan Selasa.
"Jenis serangan ini secara berbahaya menurunkan standar serangan DDoS, karena penyerang hanya membutuhkan 1/75 (dalam beberapa kasus) jumlah bandwidth dari sudut pandang volumetrik," tambah para peneliti.
Penolakan layanan reflektif terdistribusi (DRDoS) adalah bentuk serangan penolakan layanan terdistribusi (DDoS) yang bergantung pada server UDP yang dapat diakses publik dan faktor amplifikasi bandwidth (BAF) untuk membanjiri sistem korban dengan volume UDP yang tinggi. tanggapan.
Dalam serangan ini, musuh mengirimkan banjir permintaan DNS atau NTP yang berisi alamat IP sumber palsu ke aset yang ditargetkan, menyebabkan server tujuan mengirimkan tanggapan kembali ke host yang berada di alamat palsu dengan cara yang diperkuat yang menghabiskan bandwidth dikeluarkan ke sasaran.
Perkembangan tersebut muncul setelah sebuah studi akademis yang diterbitkan pada Agustus 2021 tentang vektor serangan baru yang mengeksploitasi kelemahan dalam implementasi protokol TCP di middlebox dan infrastruktur sensor untuk melakukan serangan amplifikasi penolakan layanan (DoS) yang tercermin terhadap target.
Sementara serangan amplifikasi DoS secara tradisional menyalahgunakan vektor refleksi UDP - karena sifat protokol yang tidak memiliki koneksi - pendekatan serangan yang tidak konvensional memanfaatkan ketidakpatuhan TCP di middlebox seperti alat inspeksi paket dalam (DPI) untuk melakukan serangan amplifikasi reflektif berbasis TCP.
Gelombang pertama kampanye serangan "terlihat" yang memanfaatkan metode ini dikatakan telah terjadi sekitar 17 Februari, menyerang pelanggan Akamai di seluruh industri perbankan, perjalanan, game, media, dan hosting web dengan jumlah lalu lintas tinggi yang mencapai 11 Gbps di 1,5 juta paket per detik (Mpps).
"Vektor telah terlihat digunakan sendiri dan sebagai bagian dari kampanye multi-vektor, dengan ukuran serangan perlahan-lahan naik," Chad Seaman, pemimpin tim peneliti intelijen keamanan (SIRT) di Akamai, mengatakan kepada The Hacker News.
Ide inti dengan refleksi berbasis TCP adalah untuk memanfaatkan kotak tengah yang digunakan untuk menegakkan undang-undang sensor dan kebijakan penyaringan konten perusahaan dengan mengirimkan paket TCP yang dibuat khusus untuk memicu respons volumetrik.
Memang, dalam salah satu serangan yang diamati oleh perusahaan keamanan cloud, satu paket SYN dengan muatan 33 byte memicu respons 2.156 byte, yang secara efektif mencapai faktor amplifikasi 65x (6,533%).
"Hasil utama adalah bahwa vektor baru mulai melihat penyalahgunaan dunia nyata di alam liar," kata Seaman. "Biasanya, ini adalah sinyal bahwa penyalahgunaan yang lebih luas dari vektor tertentu kemungkinan akan mengikuti seiring dengan berkembangnya pengetahuan dan popularitas di seluruh lanskap DDoS dan lebih banyak penyerang mulai membuat alat untuk memanfaatkan vektor baru."
"Pembela perlu menyadari bahwa kita telah berpindah dari teori ke praktik, dan mereka harus meninjau strategi pertahanan mereka sesuai dengan vektor baru ini, yang mungkin akan segera mereka lihat di dunia nyata," tambah Seaman.