近日,据外媒相关报道,有攻击者利用 Citrix ADC (Application Delivery Controller) 网络设备向 Steam、Xbox 等在线游戏服务发起拒绝服务攻击(DDoS)。首波攻击上周被德国 IT 系统管理员 Marco Hofmann 发现并记录在案,目前官方尚未发布修复补丁。
攻击者是通过Citrix ADC设备上的DTLS接口进行
DDoS攻击的。DTLS是一种基于UDP的安全通信协议,旨在防止窃听,篡改和消息伪造,提高数据传输的安全性。在过去的攻击中,基于DTLS协议的放大因子通常将原攻击包放大4-5倍,但Citrix ADC设备允许攻击者得到36倍放大系数的DTLS反射包,被不法分子当作DDoS放大载体。
这意味着,攻击者可以向具有DTLS功能的设备发送小的DTLS数据包,并将结果以一个大很多倍的数据包返回到一个被欺骗的IP地址(
DDoS攻击受害者)。原数据包被放大多少倍,决定了具体协议的放大系数。在多家媒体报道之后,Citrix 也承认这个问题,并承诺会在近日发布修复补丁。该公司表示,已经有证据表明有黑客利用该DDoS向全球少数客户发起攻击,受害者多为在线游戏服务提供商,如Steam,Xbox。
该反射攻击导致Citrix ADC设备的网络吞吐达到上限,引起网络出站带宽耗尽。在有限的带宽情况下,对于连接数的影响更为显著。此外,当攻击者伪造源IP,利用僵尸网络向ADC发起DTLS Hello报文时,ADC会向该伪造IP返回被放大数倍的响应包,导致受害者网络瘫痪。
在Citrix准备好官方缓解措施之前,墨者安全首席安全顾问“孤之剑”推荐两个临时的修复方法。
第一种是在不使用Citrix ADC DTLS接口的情况下,禁用该接口。
说明:禁用DTLS协议可能会导致使用DTLS的实时应用程序的性能下降。下降程度取决于多个变量。如果您的环境中不使用DTLS,暂时禁用该协议则不会对性能造成影响。
第二种是如果需要DTLS接口,建议强制设备验证传入的DTLS连接,尽管这可能会因此降低设备的性能。
互联网行业是一个蓬勃发展的行业,同时也是一个存在很多恶意竞的高风险行业。新春将至,网络攻击也变得越来越频繁,互联网企业应加强自身网络安全意识,墨者安全资深安全专家“安大师”建议企业应提前做好安全预防,保证服务器处于安全稳定的网络环境中,避免因网络攻击对企业造成不必要的损失。
关于墨者安全墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和DDOS攻击防御。