Un nuovo metodi di attacco DDoS amplifica fortemente gli attacchi, rendendoli più difficili da gestire. Queste nuove tecniche sono in aumento e si prevede che potranno crescere in numero ed in dimensioni. 
Negli ultimi giorni una nuova tecnica di attacco DDoS (Distributed Denial-of-Service) prende di mira i siti Web di organizzazioni nei settori più disparati settori, con una grande efficacia contro i sistemi di difesa.
La strategia, si chiamaTCP Middlebox Reflection, è stata resa pubblica per la prima volta come concetto teorico ad agosto dall’Università del Maryland. Gli aggressori utilizzano la tecnica in attacchi DDoS che abusano dei firewall vulnerabili e dei sistemi di filtraggio dei contenuti per lanciare enormi quantità di traffico con l’obiettivo finale di eliminare i siti Web.
La riflessione del middlebox TCP utilizza un dispositivo in rete chiamato middlebox che monitora e filtra il flusso di pacchetti trasmessi tra due host finali comunicanti. I ricercatori hanno precedentemente scoperto che centinaia di migliaia di sistemi middlebox di rete non considerano lo stato di flusso TCP (Transmission Control Protocol) quando tentano di applicare le politiche di filtro dei contenuti.
Questi sistemi sono appositamente configurati in questo modo, in parte perché gli stati-nazione applicano le leggi sulla censura, in parte in base alle politiche di filtraggio dei contenuti aziendali.
Per gli aggressori, questa non conformità TCP nei middlebox di rete pone le basi per la creazione di attacchi di amplificazione della riflessione basati su TCP efficienti, in cui falsificano l’IP di origine della vittima target, facendo sì che il middlebox risponda Il traffico è diretto alla vittima.
Un attacco su vasta scala
Questi tipi di attacchi di riflessione middlebox sono nuovi, ma non sono unici, hanno affermato i ricercatori. La vera minaccia qui è che l’attacco abbassa il livello di larghezza di banda richiesta per lanciare un attacco DDoS come un SYN flood, che prende di mira il processo utilizzato per stabilire una connessione di traffico TCP tra un client e un server, coinvolgendo l’iniziale del client richiesta di sincronizzazione. server.
L’autore dell’attacco avvia una serie di richieste SYN rapide al server, ma non fornisce una risposta come previsto. Queste connessioni semiaperte si accumulano nel server e alla fine sovraccaricano le risorse.
Se si desidera combinare un flusso SYN con un attacco volumetrico, è necessario inviare la larghezza di banda alla vittima con un rapporto di larghezza di banda 1:1, di solito sotto forma di pacchetti SYN compressi.
L’attacco osservato ha anche generato una grande quantità di traffico di attacco, ad 1,5 milioni di pacchetti al secondo (Mpps), sebbene non si avvicini ai livelli più alti precedentemente osservati.
Sebbene gli attacchi che utilizzano questa tecnica osservati finora rimangano piccoli rispetto ad altri vettori, sembrano crescere in popolarità e scala, hanno affermato i ricercatori, prevedendo che gli aggressori cercheranno di migliorare ed espandere le capacità dei loro attacchi e l’impatto complessivo.
Si attendono nuove strategie di risposta a questi attacchi, che possano essere efficaci a fermare il dilagare del fenomeno.
