新型的Loop DoS攻击可能针对30万个易受攻击的主机

德国CISPA Helmholtz信息安全中心的研究人员设计了一种新的拒绝服务（DoS）攻击，称为循环DoS攻击，针对来自主要供应商的数十万个面向互联网的系统。该攻击包括使用基于UDP的协议将服务器配对，通过使用IP欺骗使它们无限期地相互通信。

研究人员解释道：“一种新的拒绝服务（DoS）攻击针对利用用户数据报协议（UDP）进行端到端通信的应用层协议。'应用层循环DoS攻击'将这些协议的服务器配对，使它们无限期地相互通信。”，“该漏洞影响传统（例如报时、Chargen、回显）和当代（例如DNS、NTP和TFTP）协议。由CISPA Helmholtz信息安全中心的研究人员发现，该攻击将约30万个互联网主机及其网络置于风险之中。”

用户数据报协议（UDP）是互联网协议套件的核心协议，运行在传输层。UDP是一种简单轻量级的协议，提供了应用程序在网络上发送数据报文或数据包的方式。UDP被认为是一种无连接协议，因为它在传输数据之前不会在发送方和接收方之间建立直接连接。相反，它只是发送数据包而不等待确认或建立连接。该技术依赖IP欺骗，攻击者可以伪造带有受害者IP地址的UDP数据包，并将其发送给将响应受害者的服务器。

在一个简化的场景中，威胁行为者可以针对运行受影响协议的两个应用服务器。攻击者可以开始向第一个服务器发送使用第二个服务器伪造地址的消息。第一个服务器将响应第二个服务器的错误消息，再将另一个错误消息返回给第一个服务器。这个过程不断重复，耗尽彼此的资源。该问题影响了UDP协议的多个实现，包括DNS、NTP、TFTP、Active Users、Daytime、Echo、Chargen、QOTD和Time等。

研究人员指出，应用层循环DoS攻击可以从单个具备欺骗能力的主机触发。他们还澄清称，他们在应用级别发现的循环与在网络层观察到的循环不同。因此，目前在网络层使用的数据包生命周期检查无法有效阻止应用层循环。

继续研究者说：“新发现的DoS循环攻击是自我持续的，针对应用层消息。它将两个网络服务配对，以使它们不断地响应彼此的消息。通过这样做，它们产生大量流量，导致涉及的系统或网络遭受拒绝服务。一旦触发器被注入，循环启动，即使攻击者也无法停止攻击。”尽管大约30万主机及其网络暴露于循环DoS攻击之下，研究人员并不知晓是否有利用此问题的实际攻击。

研究人员已经发布了一个受影响硬件产品的不完整列表，他们正在与供应商联系以验证其产品是否受影响。漏洞扫描表明以下厂商可能受到影响：

• Arris

• Broadcom（2023-12-26）

• Brother（2024-02-06）

• 思科（例如，已停用的2800/2970路由器；维护的产品不受影响）

• D-Link

• Honeywell（2024-01-03，CVE-2024-1309）

• 休斯网络系统

• 微软（2024-02-19，在WDS中）

• MikroTik（2024-01-09）

• PLANET Technology Corporation

• TP-Link（例如，终止的产品TD-W8901G、TD-W8101G、R600VPN、WR740N、TD-W8960N）

• Zyxel（例如，终止的ZyWALL；维护的产品不受影响）

原文始发于微信公众号（黑猫安全）：新型的Loop DoS攻击可能针对30万个易受攻击的主机