偷窺電腦 它報告了“一種名為‘循環 DoS’的新拒絕服務攻擊,其目標是應用層協定。”
根據他們的文章,這種攻擊可能「將網路服務置於無限的通訊循環中,產生大量流量」。
該攻擊由 CISPA 亥姆霍茲資訊安全中心的研究人員設計,使用用戶資料報協定 (UDP),影響估計 30 萬台主機及其網路。此攻擊是由 UDP 協定實作中的漏洞(目前追蹤為 CVE-2024-2169)發起的,該協定容易受到 IP 欺騙,並且不提供足夠的資料包驗證。成功利用此漏洞的攻擊者可以創建一種自我延續的機制,該機制會產生過多的、不受限制的流量,並且無法阻止它,從而導致目標系統或整個網路出現拒絕服務 (DoS) 情況。循環 DoS 依賴 IP 欺騙,並且可以由單一主機發送單一訊息來啟動通訊來觸發。
根據卡內基美隆大學 CERT 協調中心 (CERT/CC) 的說法,利用此漏洞的攻擊者可能會產生三種結果:
— 易受攻擊的服務超載,導致不穩定或不可用。
— 針對網路骨幹的 DoS 攻擊。導致其他服務的網路中斷。
— 涉及網路循環的放大攻擊,會導致放大 DOS 或 DDOS 攻擊。
CISPA 研究人員Yepeng Pan 和Christian Rosseau 教授表示,潛在影響是巨大的,過時的協議(QOTD、Chargen、Echo)對於基於互聯網的基本功能(例如時間同步)與現代協議(DNS、NTP、TFTP)非常重要。網域解析、未經身份驗證的文件傳輸…研究人員警告說,這種攻擊的可利用性很高,並指出目前沒有證據表明該攻擊正在被主動利用。 Rossow 先生和 Pan 先生與受影響的供應商分享了他們的調查結果,並通知 CERT/CC 進行協調揭露。到目前為止,已確認其實施受到 CVE-2024-2169 影響的供應商包括 Broadcom、Cisco、Honeywell、Microsoft 和 MikroTik。
為了避免因循環 DoS 導致拒絕服務的風險,CERT/CC 建議安裝供應商提供的最新修補程式來解決漏洞,並更換不再接收安全性更新的產品。 對 UDP 應用程式使用防火牆規則和存取控制清單、停止不必要的 UDP 服務以及實施 TCP 或請求驗證也是降低攻擊風險的方法。此外,建議組織應部署反欺騙解決方案,例如 BCP38 和單播反向路徑轉送 (uRPF),並使用服務品質 (QoS) 措施來限製網路流量並防止透過網路循環和 DoS 放大進行攻擊。
感謝 Slashdot 的長期讀者 schneidafunk 分享這篇文章。
