ผู้เชี่ยวชาญพบการการโจมตีที่ช่วยทำ DDoS Amplification ได้ถึง 65 เท่า

Akamai ได้พบการโจมตีใหม่ของคนร้ายที่ชื่อ ‘TCP Middlebox Reflection’ โดยขยายการตอบรับแพ็กเก็ต SYN ไปถึง 65 เท่า

TCP Middlebox Reflection เป็นผลงานการตีพิมพ์ครั้งแรกเมื่อสิงหาคมปีก่อนโดยมหาวิทยาลัยในสหรัฐฯ ซึ่งหวังใช้ Middlebox หรืออุปกรณ์ระหว่างทางเครือข่ายที่มีความสามารถทำ Packet Inspection หรือ Content Filtering ในทางที่ไม่ดี ประเด็นก็คืออุปกรณ์ไม่ได้ยุ่งแค่เรื่อง Packet Header แต่เกี่ยวไปลึกถึง Content ไอเดียก็คือการประดิษฐ์ TCP Sequence พิเศษส่งไปโจมตีอุปกรณ์ ทั้งนี้ Akamai พบว่าแพ็กเก็ต SYN ขนาด 33 ไบต์สามารถสร้างการตอบรับได้ในขนาด 2,156 ไบต์หรือราว 65 เท่า รวมถึงมีอุปกรณ์ในอินเทอร์เน็ตมากมายที่เสี่ยงต่อการโจมตีรูปแบบนี้

Akamai อธิบายเพิ่มว่า “การโจมตีเชิงปริมาณทำให้เป้าหมายได้รับผลกระทบอย่างมีนัยสำคัญ โดยแพ็กเก็ต SYN ที่ถูกส่งมายังแอปพลิเคชันทำให้เกิดการตอบสนองด้วย SYN+ACK หลายแพ็กเก็ต และ TCP Session ตกอยู่ในสถานะ Half-open รอการ Handshake ด้วยเหตุนี้เองจึงกินทรัพยากรของเครื่องจนเต็ม”

อย่างไรก็ดีจากการวิเคราะห์พบว่าการโจมตียังไม่น่ากังวลนักจากขนาด แต่ในอนาคตคนร้ายอาจปรับแต่งเทคนิคให้ดีขึ้น สำหรับการป้องกัน Akamai แนะนำให้มอง SYN flood ที่มี Length มากกว่า 0 เป็นเรื่องต้องสงสัย ตั้งไฟล์วอร์ให้ดร็อปแพ็กเก็ต SYN ที่มีขนาดเกิน 100 รวมถึงทำ SYN Challenge เพื่อตัดสินใจยกเลิกการ Handshake และดร็อปข้อมูลอันตรายที่เข้ามา

ที่มา : https://www.bleepingcomputer.com/news/security/content-filtering-devices-abused-for-65x-ddos-amplification/