Introducción
Este informe identifica los dispositivos de los que se puede abusar para los ataques DDoS de reflexión de TCP Middlebox. Los ataques basados en reflejos se han asociado principalmente con servicios UDP en el pasado, pero en este caso se aplican a servicios basados en TCP.
Tenga en cuenta que explotar la reflexión de TCP Middlebox implica enviar paquetes personalizados que envían cargas útiles en paquetes TCP que normalmente no contienen cargas útiles (como, por ejemplo, un paquete TCP SYN), por lo que no puede verificar la susceptibilidad de un dispositivo a los ataques simplemente ejecutando un nmap o probar una conexión telnet o netcat al dispositivo.
TCP Middlebox Reflection se reveló por primera vez en el artículo de Usenix «Weaponizing Middleboxes for TCP Reflected Amplification», escrito por investigadores de la Universidad de Maryland y la Universidad de Colorado en Boulder.
Como se describe en el artículo de Usenix:
Un middlebox es un dispositivo dentro de la red que se encuentra en la ruta entre dos hosts finales que se comunican y puede monitorear, filtrar o transformar flujos de paquetes en tránsito. A diferencia de los dispositivos de red tradicionales, como los enrutadores y los conmutadores, los middleboxes funcionan no solo en los encabezados de los paquetes, sino también en sus cargas útiles mediante la Inspección profunda de paquetes (DPI).
Los ataques de reflejo de TCP de caja intermedia son posibles al aprovechar el incumplimiento de TCP en las cajas intermedias de la red: responder a paquetes TCP fuera del estado. Este comportamiento, combinado con el hecho de que los middleboxes se configuran comúnmente para bloquear cierto tráfico, puede ser aprovechado por un atacante para usar el dispositivo de middlebox como amplificador y reflector para ataques DDoS cuando envían paquetes TCP personalizados fuera del estado con la dirección IP de origen. suplantado a la dirección IP de la víctima DDoS.
Como señaló Akamai:
Los atacantes pueden crear varias secuencias de paquetes TCP que contienen encabezados de solicitud HTTP; en estos encabezados HTTP, se usa un nombre de dominio para un sitio bloqueado como encabezado de host. Cuando estos paquetes son recibidos por el middlebox que está configurado para no permitir el acceso al sitio, el middlebox responde, generalmente con encabezados HTTP y, en algunos casos, con páginas HTML completas. Estas respuestas brindan a los atacantes una oportunidad de reflexión y, en algunos casos, un factor de amplificación significativo.
Proceso de escaneo:
Se identifican los middleboxes abusables a través del escaneo con paquetes TCP personalizados, especialmente construidos para obtener las respuestas amplificadas.
Actualmente se escanea con 2 métodos descritos en el documento de Usenix.
- Paquete SYN con número de secuencias, seguido de un PSH + ACK con número de secuencia s+1 que contiene una solicitud de carga HTTP GET para un recurso prohibido.
- Paquete SYN con una solicitud de carga HTTP GET para un recurso prohibido.
Un recurso prohibido en este caso es una URL que el middlebox está configurado para bloquear.
Los escaneos se basan en https://github.com/Kkevsterrr/zmap/blob/618f7dd2b2a0c79a71f00aabc40ab3f9addcc9bd/src/probe_modules/module_forbidden_scan.c.
La solicitud de carga útil HTTP GET incrustada en las cargas útiles es:
GET / HTTP/1.1\r\nHost: www.you[redacted].com \r\n\r\n
En función de la respuesta recibida, también se calcula el factor de amplificación. Esta amplificación se basa únicamente en el tamaño de la carga útil enviada y el tamaño de la carga útil recibida (es decir, sin tamaños de encabezado TCP/IP).
El amplificador superior encontrado tiene una tasa de amplificación de 6,583,549 con el TOP 10 por encima de 50,000 .
Cuando se eliminan los amplificadores más grandes (hay 70 con un factor de amplificación superior a 10.000) , las tasas de amplificación promedio son:
- SYN con GET: alrededor de 19.4
- SYN+PSH:ACK: alrededor de 7.6
Las tasas medianas de amplificación son las siguientes:
- SYN con GET: alrededor de 9
- SYN+PSH:ACK: alrededor de 6
Mitigación
Si recibe una notificación de un dispositivo del que se puede abusar, considere las contramedidas/técnicas de mitigación que se han descrito en las dos fuentes mencionadas anteriormente.
Por ejemplo, Akamai sugiere que las ACL de firewall se pueden usar para bloquear los patrones incorrectos conocidos.
Sin embargo, tenga en cuenta que, por lo general, la solicitud se puede enviar en cualquier puerto, simplemente mitigar las consultas a 80 no es suficiente, ya que los middleboxes detectan y responden al tráfico en cualquier puerto.
La reconfiguración de la caja intermedia también puede resolver el problema. Comuníquese con el fabricante/proveedor de su dispositivo para obtener orientación.
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Este análisis se anunció por primera vez en la publicación de blog: Más de 18,8 millones de direcciones IP son vulnerables a los ataques DDoS de reflexión de TCP de Middlebox.
Nombre de archivo: scan_ddos_middlebox
CAMPOS
| timestamp | Hora en que se sondeó la IP en UTC+0 |
| ip | La dirección IP del dispositivo en cuestión. |
| protocol | Protocolo en el que se produjo la respuesta HTTP (siempre TCP) |
| port | Puerto que se está consultando (puerto 80) |
| hostname | Nombre DNS inverso del dispositivo en cuestión |
| tag | Etiqueta establecida en «ddos-middlebox» |
| asn | ASN de donde reside el dispositivo en cuestión |
| geo | País donde reside el dispositivo en cuestión |
| region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
| city | Ciudad en la que reside el dispositivo en cuestión |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sic | Código del sistema de clasificación industrial estándar |
| source_port | Puerto efímero desde el que se envió la sonda |
| bytes | Bytes recibidos en respuesta a la consulta |
| amplification | Factor de amplificación observado |
| method | Método de escaneo, es decir. cómo construimos los paquetes de escaneo personalizados, por ejemplo: SYN + ACK:PSH con solicitud GET en la carga útil o SYN con método de solicitud GET en la carga útil. |
EJEMPLO
"timestamp","ip","protocol","port","hostname","tag","asn","geo","region","city","naics","sic","sector","source_port","bytes","amplification","method"
"2010-02-10 00:00:00",192.168.0.1,tcp,80,node01.example.com,ddos-middlebox,64512,ZZ,Region,City,0,0,,49002,99,2,SYN+ACK:PSH
"2010-02-10 00:00:01",192.168.0.2,tcp,80,node02.example.com,ddos-middlebox,64512,ZZ,Region,City,0,0,"Communications, Service Provider, and Hosting Service",41200,99,2,SYN+ACK:PSH
"2010-02-10 00:00:02",192.168.0.3,tcp,80,node03.example.com,ddos-middlebox,64512,ZZ,Region,City,0,0,,47492,99,2,SYN+ACK:PSHFuente: https://www.shadowserver.org/what-we-do/network-reporting/vulnerable-ddos-middlebox-report/