一种能将DDoS攻击放大40亿倍的新方法
最近,网络安全研究人员发出警告,一种新型的分布式拒绝服务攻击方法正在被利用。这种方法能将攻击的破坏性放大到前所未有的程度,理论上可达40亿倍。这并非危言耸听,而是源于一个广泛使用的企业通信系统中,一个本不该暴露在互联网上的测试功能。
我的理解是,这就像有人发现了一个可以无限复制的“扩音器”,攻击者只需对着它小声说一句指令,它就能对着目标持续发出震耳欲聋的噪音,而且这个噪音可以持续长达14小时。下面,我们来拆解一下这个“超级扩音器”的工作原理、潜在危害以及我们该如何应对。
DDoS放大攻击的基本原理
要理解这种新方法的厉害之处,首先得知道什么是DDoS放大攻击。简单来说,这是一种“借力打力”的攻击方式。攻击者不会直接用自己控制的计算机去冲击目标网站,那样效率太低。
他们会先在互联网上寻找一些配置不当的第三方服务器(比如某些DNS服务器、时间同步服务器等),然后向这些服务器发送一个经过伪装的、很小的数据请求。这个请求被伪装成来自攻击目标。服务器收到请求后,会向“假”的发送者(即攻击目标)回复一个比请求大得多的数据包。通过这种方式,攻击者用很小的代价,就能诱导大量无辜的服务器对目标发起数据洪流,从而“放大”攻击效果。历史上,一些常见的放大媒介能将攻击流量放大几十到几千倍。
前所未有的“超级放大器”
这次发现的新放大器,来自于Mitel公司的MiCollab和MiVoice Business Express协作系统。这些系统通常作为企业电话网络与互联网连接的网关。
问题出在系统内一个用于测试网络性能的驱动程序功能上。制造商明确建议这个功能只能在内部网络中使用,但全球仍有大约2600台服务器错误地将其暴露在了公网上。攻击者正是利用了这一点。
这个测试功能的可怕之处在于其极高的放大率和极低的触发门槛。研究人员在报告中指出:“利用TP-240反射/放大的攻击者可以使用单个数据包发起高影响DDoS攻击。”理论上,攻击者只需发送一个长度约1.1KB的恶意指令数据包,就能让一台服务器在接下来的14小时内,持续向目标发送高达4,294,967,294个响应数据包,放大倍数达到惊人的40亿倍。
潜在的风险与影响
这种攻击方法的潜在破坏力是巨大的,主要体现在两个方面:
- 极高的放大倍数:40亿倍的放大潜力,远超之前已知最强的放大器(memcached,约5.1万倍)。这意味着攻击者可以用极少的资源,发起规模空前的流量攻击。
- 超长的攻击持续时间:传统的放大攻击需要攻击者持续发送指令来维持。而这种新方法,只需一个“点火”数据包,就能让被利用的服务器自动、持续地攻击目标长达14小时,极大地降低了攻击者的操作成本和风险。
虽然目前观察到的实际攻击(最高约每秒5300万个数据包)还未达到理论极限,但研究人员警告,随着攻击者技术的改进,实现实验室中验证的破坏性是完全可能的。
谁该负责以及如何防范
对于普通互联网用户来说,我们几乎无法直接防御这种攻击。因为攻击流量并非直接来自攻击者,而是来自那些被利用的、配置不当的Mitel服务器。
因此,防范的责任主要在于部署了这些Mitel系统的企业和组织。他们需要确保遵循安全指南,将测试功能严格限制在内网,并尽快安装厂商发布的软件更新。Mitel公司已在2022年3月发布了安全更新,可以自动确保该测试功能仅在内部网络可用。
此次安全公告由Akamai、Cloudflare、Lumen等多个顶尖安全团队联合发布,也说明了业界对此威胁的高度重视。及时更新系统、正确配置网络服务,是抵御此类威胁最根本的方法。
结语
这次发现的新型DDoS放大向量,再次提醒我们网络安全中“配置安全”的重要性。一个本意为方便内部测试而设计的功能,一旦暴露在公开的互联网上,就可能成为破坏力惊人的武器。它就像网络世界中的一个“杠杆支点”,攻击者正在不断寻找并利用这些支点,试图用最小的力撬动最大的破坏。对于企业和服务提供商