DDoS全新攻击手法横空出世

DDoS攻击堪称是当前快速瘫痪特定网络基础设施与关键服务的有效利器，这点可以从俄乌大战之余，两国相互发动激烈的DDoS攻击中获得印证。如今，实战经验极其丰富的DDoS黑客，又另外发展出名为TCP Middlebox Reflection全新DDoS放大攻击手法。此手法一出，大大降低大规模DDoS攻击的门槛，因为攻击者可以轻松地将原本普通流量的攻击封包放大65倍。 当前俄乌战争已进入第9天，在实际的军事冲突之余，俄罗斯与乌克兰号召的黑客组织也在网络上展开激烈的DDoS攻击，以便瘫痪彼此政府部门与银行机构等网络基础设施与服务。就在俄乌网络上开演火热DDoS攻击戏码之际，云计算安全公司在网络上发现首度采用全新TCP Middlebox Reflection放大技术的DDoS攻击，这个新技术在6个月前还处于理论探讨阶段，没想到如今真的实际应用在DDoS攻击上。

从传统UDP反射技术到全新TCP反射放大手法

这个新技术源于去年8月出版的一份学术研究论文，该文探讨一种新的攻击途径与手法，能运用Middlebox与审查基础设施中所执行TCP协议的弱点，来对目标发动反射式DoS放大攻击。过去DoS放大攻击传统上惯用的是UDP反射手法，如今这个非传统攻击手法则充分利用不兼容于深度检测封包（DPI）之类Middlebox的TCP，来发动基于TCP的反射式放大攻击。

根据研究报告指出，TCP Middlebox Reflection技术会利用防火墙与内容过滤系统的弱点，然后将反射与放大的TCP流量倾注在目标受害机台上，进而形成强大的DDoS攻击。该手法最危险的地方，在于彻底降低了今后DDoS攻击的流量门槛，因为即使只有常见DDoS流量的1/75，连新手黑客也能轻松掀起涛天巨浪，宛如法海附身一般。

第一波运用该新手法的DDoS放大攻击大约出现在2月17日左右，黑客以每秒150万个封包数、最高11Gbps的流量攻击横跨金融、旅游、游戏、媒体及Web托管服务等产业的客户。

单一33 Bytes攻击封包能触发2,156 Bytes回应封包

TCP放射式攻击的核心攻击思维就是，运用Middlebox这个被用来执行审查法规及企业内容过滤政策的设备，以便发送特定的TCP封包来触发巨量的回应封包。墨者盾观测到的某一次攻击中，该公司发现包含33字节封包负载的单一SYN封包，竟能触发多达2,156字节的回应封包，其放大倍数达到惊人的65倍（6,533%）。

令人担心的是，随着新技术大幅降低DDoS攻击的门槛，越来越多的攻击者已开始打造运用这个新技术的攻击工具。对此，墨者安全建议，企业应根据这个全新攻击途径与手法，重新查看自身的安全防御策略，以便更弹性、更完备地应对日新月异DDoS攻击的挑战。 关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御