Overslaan en naar de inhoud gaan

Compleet nieuwe DDoS-aanvaltechniek wint snel terrein

DDoS-aanvallers gebruiken in toenemende mate 'TCP Middlebox Reflection' als een manier om de kracht van hun aanval met een factor 100 op te jagen.
DDoS
© Shutterstock
Shutterstock

"Middlebox DDoS amplification is een compleet nieuw type TCP reflection/amplification attack dat een risico vormt voor het interne", zegt content distributienetwerkexploitant Akamai in een blog. De techniek werd in augustus al beschreven als een theoretisch gevaar, maar wordt nu ook daadwerkelijk 'in het wild' toegepast. Het bedrijf signaleert de afgelopen week een piek van 11Gbps (1,5 miljoen packets per seconde) op de netwerken van klanten die deze nieuwe aanvalsvorm benutten.

Tot nog toe maken de meeste DDoS-aanvallers gebruik van het User Datagram Protocol (UDP) om hun aanval te versterken. Kwetsbare apparaten worden dan bestookt met bogus-pakketjes en het apparaat geeft vervolgens een foutmelding als antwoord dat vele malen groter is dan het initiële aanvalspakket. Door die antwoorden vanuit heel veel kwetsbare apparaten te laten verzenden naar het adres van een slachtoffer krijgt diens server een hoeveel verkeer over zich heen waar het geen raad mee weet en wordt daardoor onbereikbaar.

Verkeerde implementatie maakt misbruik mogelijk

De TCP-Middelbox Reflection-aanval maakt gebruik van het transmission control protocol (TCP), dat juist bedoeld is voor veilige communicatie over internet. Het blijkt echter dat bij heel wat 'middleboxes', zoals firewalls en proxyservers die bepaalde content uitfilteren, TCP niet volgens de standaard geconfigureerd is. De onderzoekers kwamen honderdduizenden apparaten bij die op die manier misbruikt kunnen worden voor een DDoS-aanval. Met TCP-Middelbox Reflection kunnen aanvallers de omvang van hun datastroom met een factor 100 vergroten.

Kwetsbare apparaten controleren de status van de TCP datastroom niet goed wanneer ze hun filterbeleid toepassen. Door er 'out-of-state TCP packets' op af te vuren, reageert zo'n apparaat met een antwoord dat vaak een deel van de inhoud van het pakket bevat. Het doel is de browser van de client te kapen door om te voorkomen dat gebruikers bij de geblokkeerde informatie kunnen komen. Die foute implementatie kan op zijn beurt weer worden misbruikt door de aanvallers om het TCP-verkeer om te leiden naar DDoS-doelwitten, legt Akamai uit.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in