DDoS雇佣服务现滥用配置不当或过期的DTLS服务器进行放大攻击,放大因子高达37.34:1。思杰已发布修复方案,但仍有大量易受攻击的DTLS服务器暴露在网上,被用作DDoS攻击工具。攻击者通过Booter服务使得不具备高级技术的攻击者也能发起此类攻击。管理员应禁用不必要的DTLS服务或启用反欺骗机制以减轻风险。
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
DDoS 雇佣服务目前正在滥用配置不当或过期的数据报文传输层安全 (Datagram Transport Layer Security, D/TLS) 服务器,放大分布式 DoS 攻击。
DTLS 是基于 UDP 的 TLS 协议版本,具有阻止在延迟敏感 app 和服务进行窃听和篡改的功能。
已滥用于单向量和多向量 DDoS 攻击中
据相关报告称,去年12月,某 DDOS 攻击利用 DTLS放大易受攻击的思杰设备的流量,这些设备使用 DTLS 配置但并未部署旨在拦截此类滥用情况的 ‘HelloClientVerify’ 反欺骗机制。
德国 DDoS 防护厂商 Link11表示,利用 DTLS 的 DDoS 攻击的放大因子可达到35;DDoS 缓解企业 Netscout 指出,放大率可达到 37.34:1。
1月份,思杰发布修复方案删除了受影响 NetScaler ADC 设备上的放大向量,并增加 ‘HelloVerifyRequest’ 设置删除该攻击向量。
然而,2个月后,Netscount 公司表示,互联网仍暴露着超过4200台 DTLS 服务器,且易被滥用于反射型DDoS / DDoS 放大攻击中。该公司观测到单向量 DTLS DDoS 放大攻击达 44.6 Gbps,而多向量攻击达 206.9 Gbps。
遭 DDoS booter服务利用
DDoS 雇佣平台也被称为Booter 或 Stresser,它们正在将 DTLS 作为放大向量并使其落入技术不太高明的攻击者手中。
Booter服务常被威胁行动者、恶作剧者或黑客主义者所使用,尤其是没时间或技能构建自己的 DDoS 基础设施的情况下。他们租赁stresser发动 DDoS 攻击,触发拒绝服务,使目标服务器或站点宕机或服务中断。
Netscout 公司指出,和更新的 DDoS 攻击向量的情况一致,高阶攻击者访问 DDoS 攻击基础设施后,D/TLS 反射型/放大已被武器化并加入所谓 ‘booter/stresser’ DDoS 雇佣服务中,使得一般攻击者也可接触使用。
为缓解此类攻击,管理员可禁用在互联网暴露的服务器上的不必要的 DTLS 服务或者修复/配置使用 HelloVerifyRequest 反欺骗机制,删除 DTLS 放大。
DHS-CISA 也发布了关于如何检测 DDoS 攻击以及修复措施的指南。
推荐阅读
攻击者滥用 Citrix NetScaler 设备 0day,发动DDoS放大攻击
VMware 修复 vCenter 服务器中的严重 RCE 漏洞
火眼:利用FTA 服务器0day攻击全球百家企业的是 FIN11
Windows 和 Linux 服务器遭新型僵尸网络 WatchDog 攻击近两年
参考链接
https://www.bleepingcomputer.com/news/security/ddos-booters-now-abuse-dtls-servers-to-amplify-attacks/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
