 |
| إختراقات متقدمة : يمكن للهاكرز تسليح جدران الحماية بهجمات DDoS |
يمكن تسليح نقاط الضعف في تنفيذ بروتوكول TCP في البنية التحتية للرقابة كمتجه لتنظيم هجمات تضخيم رفض الخدمة (DDoS) ضد أي هدف، متجاوزًا العديد من عوامل التضخيم القائمة على UDP حتى الآن.
بالتفصيل من قبل مجموعة من الأكاديميين من جامعة ميريلاند وجامعة كولورادو بولدر في ندوة USENIX Security ، تستفيد الهجمات الحجمية من الصناديق الوسطى في الشبكة غير المتوافقة مع بروتوكول TCP - مثل جدران الحماية وأنظمة منع الاختراق والحزم العميقة مربعات التفتيش (DPI) لتضخيم حركة مرور الشبكة، مع مئات الآلاف من عناوين IP التي تقدم عوامل تضخيم تتجاوز تلك الموجودة في DNS و NTP و Memcached.
البحث الذي حصل على جائزة البحث المتميز في المؤتمر، هو الأول من نوعه الذي يصف تقنية لتنفيذ هجمات DDoS المنعكسة عن تضخيم بروتوكول TCP من خلال إساءة استخدام التهيئة الخاطئة للصندوق الأوسط في البرية، وهي طريقة كانت فعالة سابقًا في منع مثل هذه الهجمات. هجمات انتحال.
ماهي هجمات التضخيم المنعكسة؟
هجمات التضخيم المنعكسة هي نوع من هجمات DdoS التي يستغل فيها الخصم الطبيعة غير المتصلة لبروتوكول UDP مع الطلبات المخادعة إلى الخوادم المفتوحة التي تم تكوينها بشكل خاطئ من أجل إرباك خادم أو شبكة مستهدفة بفيض من الحزم ، مما يتسبب في تعطيل أو عرض الخادم وخادمه البنية التحتية المحيطة لا يمكن الوصول إليها. يحدث هذا عادةً عندما تكون الاستجابة من الخدمة الضعيفة أكبر من الطلب المخادع، والذي يمكن الاستفادة منه بعد ذلك لإرسال الآلاف من هذه الطلبات وبالتالي تضخيم الحجم وعرض النطاق الترددي الصادر إلى الهدف بشكل كبير.
في حين أن تضخمات DoS تعتمد تقليديًا على UDP بسبب المضاعفات الناشئة عن مصافحة TCP ثلاثية الاتجاهات لإعداد اتصال TCP / IP عبر شبكة قائمة على IP (SYN و SYN + ACK و ACK) ، وجد الباحثون أن عددًا كبيرًا من اجدران الحماية للشبكة لا تتوافق مع معيار TCP ويمكنها "الاستجابة للطلبات الخاضعة للرقابة المخادعة بصفحات كتلة كبيرة ، حتى إذا لم يكن هناك اتصال TCP صالح أو مصافحة" ، مما يحول الأجهزة إلى أهداف جذابة لهجمات تضخيم DDoS.
ماذا يقولون خبراء الأمن؟
قال الباحثون: "لا تتوافق الصناديق المتوسطة (جدران الحماية) غالبًا مع بروتوكول TCP حسب التصميم: تحاول العديد من الصناديق المتوسطة [التعامل] مع التوجيه غير المتماثل ، حيث يمكن للصندوق الأوسط رؤية اتجاه واحد فقط للحزم في اتصال (على سبيل المثال عميل إلى خادم)". "لكن هذه الميزة تفتحهم للهجوم: إذا قامت الصناديق الوسطى بحقن محتوى قائم على جانب واحد فقط من الاتصال ، فيمكن للمهاجم انتحال جانب واحد من مصافحة TCP ثلاثية الاتجاهات ، وإقناع الصندوق الأوسط بوجود اتصال صالح."
بعبارة أخرى ، تتوقف الآلية على خداع الصندوق الأوسط لحقن رد دون إكمال المصافحة الثلاثية ، واستخدامها لاحقًا للوصول إلى مجال محظور مثل المواد الإباحية والمقامرة ومواقع مشاركة الملفات ، مما يتسبب في استجابة الصندوق الأوسط بصفحة حظر ، والتي ستكون أكبر بكثير من الطلبات الخاضعة للرقابة ، مما يؤدي إلى تضخيمها.
علاوة على ذلك ، لا تأتي هذه الاستجابات المضخمة في الغالب من الصناديق المتوسطة فحسب ، بل إن جزءًا من معدات فحص الشبكة هذه عبارة عن جهاز رقابة الدولة القومية ، مما يبرز الدور الذي تلعبه هذه البنية التحتية في تمكين الحكومات من قمع الوصول إلى المعلومات داخل حدودها ، وأسوأ من ذلك ، السماح للخصوم بتسليح أجهزة الشبكات لمهاجمة أي ضحية على الإنترنت.
وقال الباحثون إن "البنية التحتية للرقابة على مستوى الدولة تقع في مزودي خدمة الإنترنت ذوي السرعة العالية ، وهي قادرة على إرسال البيانات وحقنها بنطاقات عالية بشكل لا يصدق". "هذا يسمح للمهاجم بتضخيم كميات أكبر من حركة المرور دون القلق من تشبع مكبر الصوت. ثانيًا ، تجعل المجموعة الهائلة من عناوين IP للمصدر التي يمكن استخدامها لبدء هجمات التضخيم من الصعب على الضحايا ببساطة حظر عدد قليل من العاكسات. الأمة- يقوم مراقبو الدولة بتحويل كل عنوان IP قابل للتوجيه (كذا) داخل بلدهم إلى مكبر صوت محتمل ".
وأضاف الباحثون: "تقدم ميدل بوكس تهديدًا غير متوقع ، لم يتم استغلاله بعد ، يمكن للمهاجمين الاستفادة منه لشن هجمات قوية من DoS". "حماية الإنترنت من هذه التهديدات تتطلب جهودًا متضافرة من العديد من مصنعي ومشغلي الصناديق المتوسطة."
