Compleet nieuwe DDoS-aanvaltechniek wint snel terrein

"Middlebox DDoS amplification is een compleet nieuw type TCP reflection/amplification attack dat een risico vormt voor het interne", zegt content distributienetwerkexploitant Akamai in een blog. De techniek werd in augustus al beschreven als een theoretisch gevaar, maar wordt nu ook daadwerkelijk 'in het wild' toegepast. Het bedrijf signaleert de afgelopen week een piek van 11Gbps (1,5 miljoen packets per seconde) op de netwerken van klanten die deze nieuwe aanvalsvorm benutten.

Tot nog toe maken de meeste DDoS-aanvallers gebruik van het User Datagram Protocol (UDP) om hun aanval te versterken. Kwetsbare apparaten worden dan bestookt met bogus-pakketjes en het apparaat geeft vervolgens een foutmelding als antwoord dat vele malen groter is dan het initiële aanvalspakket. Door die antwoorden vanuit heel veel kwetsbare apparaten te laten verzenden naar het adres van een slachtoffer krijgt diens server een hoeveel verkeer over zich heen waar het geen raad mee weet en wordt daardoor onbereikbaar.

Verkeerde implementatie maakt misbruik mogelijk

De TCP-Middelbox Reflection-aanval maakt gebruik van het transmission control protocol (TCP), dat juist bedoeld is voor veilige communicatie over internet. Het blijkt echter dat bij heel wat 'middleboxes', zoals firewalls en proxyservers die bepaalde content uitfilteren, TCP niet volgens de standaard geconfigureerd is. De onderzoekers kwamen honderdduizenden apparaten bij die op die manier misbruikt kunnen worden voor een DDoS-aanval. Met TCP-Middelbox Reflection kunnen aanvallers de omvang van hun datastroom met een factor 100 vergroten.

Kwetsbare apparaten controleren de status van de TCP datastroom niet goed wanneer ze hun filterbeleid toepassen. Door er 'out-of-state TCP packets' op af te vuren, reageert zo'n apparaat met een antwoord dat vaak een deel van de inhoud van het pakket bevat. Het doel is de browser van de client te kapen door om te voorkomen dat gebruikers bij de geblokkeerde informatie kunnen komen. Die foute implementatie kan op zijn beurt weer worden misbruikt door de aanvallers om het TCP-verkeer om te leiden naar DDoS-doelwitten, legt Akamai uit.