互联网审查系统漏洞可被用来实施大规模DDoS攻击

近日，Netscout的网络安全研究人员警告说，滥用互联网审查系统实施新型分布式拒绝服务(DDoS)攻击的时机已经成熟。

研究人员表示，滥用的可能性令人担忧，因为这是反射或放大攻击技术，一旦发动将“对全球网络构成威胁”。

攻击流量可被放大70万倍

据Netscout安全人员介绍，此类DDoS攻击利用了Middlebox HTTP反射/放大(MBHTTP)错误配置漏洞，攻击流量可被放大70万倍！

此类DDoS攻击类型属于HTTP反射/放大，这意味着攻击者不但可以放大他们生成的恶意流量，同时还能掩盖攻击流量的来源。基于HTTP的DDoS攻击向目标服务器发送大量垃圾HTTP请求，占用资源并阻止用户使用特定站点或服务。

研究人员表示，除了被利用实施大规模DDoS攻击外，审查系统本身也会瘫痪，流量分析工具离线，合法流量也被阻止。

数以千万计的设备暴露

据Netscout透露，来自马里兰大学和科罗拉多大学博尔德分校的联合研究小组首先发现了这个广泛存在的配置漏洞。据估计，有超过2亿个IP地址可被用来发起此类攻击。

在上周五发布的技术分析中，Netscout安全专家Robbins Roland和Steinthor Bjarnason指出：“这些设备中有数千万个暴露在外并容易受到黑客的滥用，其中大约1800万个设备提供至少2:1的放大系数，从而成为对手可用的最多产的反射器/放大器类型之一。”

为什么攻击审查系统？

研究人员发现，受影响的审查系统特别容易受到这些类型的攻击，因为：

由于审查系统的设计者渴望在非对称路由场景中扩展其性能和功能，往往会选择在审查系统拒绝列表响应URI请求之前不明智地放弃对完整TCP握手的要求；

可滥用系统往往会配置和部署在北向接口上拦截和响应入站欺骗或精心设计的攻击发起者数据包，而不是仅在其南向接口上拦截和处理出站流量；

一些可滥用系统处于路由环路中，从而可被转换为无限循环的反射器/放大器。

Netscout表示，许多审查系统在设计上存在瑕疵，其部署策略使得攻击者能够以类似其他反射/放大DDoS攻击的方式合成对被拒绝的FQDN和/或URI的欺骗请求。这会导致被放大的HTTP响应被定向到攻击目标。

配置错误导致审查系统容易受到攻击

该漏洞的核心是审查系统的常见错误配置，该系统以特定方式响应来自统一资源标识符(URI)的HTML阻止通知页面。

“由于缺乏对TCP三向握手的执行，攻击者可以假冒目标的IP地址，选择源端口和目标端口，以启动高pps/-bps HTTP反射/放大攻击，”研究人员写道。

攻击者也可以轻松隐藏攻击。

“熟练的攻击者可能会选择源端口和目的端口，目的是让放大的攻击流量符合常见的网络访问控制策略，从而伪装攻击流量，使其乍一看在目标应用、服务和基础设施环境中似乎是合法的。”Netscout指出。

风险缓解建议

Netscout建议网络运营商尽快识别可被滥用的审查系统并将其暂时移除。

研究人员写道：“发现这种攻击方法的安全研究人员已经发布了ZMap扫描软件的定制分支（https://ieeexplore.ieee.org/document/9474303/），以及可用于识别容易被滥用的审查系统的模块。”