Что нового

News Новое - это хорошо забытое старое - TCP Reflection Attacks

Vander 0

Vander

Команда форума
10.11.2019
483
1 109
shutterstock_91056092.jpg

  • Атаки типа TCP reflection довольно стары и выпали из поля зрения в связи с митигацией и роста популярности других атак.
  • Но тренды меняются, и эти атаки снова становятся популярными.
Что такое TCP Reflection?

TCP Reflection
атаки подразумевают, что злоумышленник отправляет поддельные пакеты с поддельными IP-адресами источника службе или сервису, который в свою очередь будет перенаправлять пакеты на указанный адрес.

Подтверждение TCP соединения происходит посредствам обмена тремя пакетами между двумя компьютерами, так называемое рукопожатие.
  • SYN клиент (web, ftp, etc.) входит в связь с сервером, посылая ему SYN.
  • SYN/ACK: запрос о соединении(SYN пакет) получен на открытом порту сервера, тот подтверждает соединение, посылая клиенту SYN/ACK.
  • ACK: клиент получает подтверждение сервера SYN/ACK для ожидаемой связи, то отвечает ACK.
Что происходит?

Традиционные "SYN flooding DoS" атаки работают по двум принципам:
  • "one-on-one" одна машина отсылает достаточное количество SYN пакетов, чтобы заблокировать доступ к серверу.
  • "many-on-one" множество программ зомби, установленных на разных серверах, атакуют целевую машину SYN пакетами.
С использованием "reflection SYN flooding" посылаются пакеты, но с исходным IP адресом, указывающим на целевую машину. TCP соединение с использованием этих трех пакетов требует, чтобы любая TCP служба, которая получает SYN пакет, ответила SYN/ACK пакетом. Серверы или роутеры, которые получают эти поддельные SYN пакеты, посылают SYN/ACK ответы на машину, указанную SYN пакетами с исходным IP.

Untitled-2.001saaa.png

У этого типа атаки также есть вторичная жертва, отражающая сторона. Это могут быть случайно выбранные небольшие сервисы, которые могут не справиться с таким большим количеством поступающих запросов.

Это может привести к тому, что эти вторичные жертвы столкнутся с неожиданными скачками трафика и отключениями.

Тогда и сейчас

Одна из самых TCP Reflection атак была создана в начале 90-х годов и называлась Smurf Attack.

Со временем возникло множество других атак, и атака TCP Reflection стала менее распространенной.

Векторы UDP-атак стали довольно популярными, что привело к серьезным последствиям и сбоям в работе служб.

Однако эта атака, по-видимому, была вновь открыта преступниками примерно через 20 лет в результате изменения тенденций.

Смягчение TCP Reflection

Защита от TCP Reflection является довольно сложной задачей. Хотя вы можете заблокировать IP-адрес злоумышленника, он не очень эффективен, поскольку злоумышленник подделывает допустимые адреса.

Мнение эксперта

ss.jpeg

«Мы ожидаем, что этот вектор атаки будет включен в плоскость DDoS в будущем. Ожидайте, TCP Reflection будет использоваться параллельно с UDP Amplification, как часть много векторной кампании, направленной на преодоление защитных мер», - говорят эксперты по безопасности.
 
Последнее редактирование:
Верх Низ