吳明宜安全研究人員揭露一種鎖定應用層協定的新阻斷服務攻擊手法,名為 Loop DoS,可將網路服務配對到無窮通訊迴圈,引發大流量而擊潰服務。
這是由德國亥姆霍茲資訊安全研究中心 (CISPA Helmholtz-Center) 研究人員發展出來,他們利用 UDP (User Datagram Protocol, UDP) 協定設計而成,估計可影響 30 萬台主機和其網路。
這項攻擊是利用 UDP 協定實作中一項編號 CVE-2024-2169 的漏洞,該漏洞是出於封包驗證不足,給了 IP 偽造攻擊的機會。 Loop DoS 主要元兇是 IP 偽造 (IP spoofing),一台主機傳送出第一道訊息後觸發無限循環,而對單一台目標系統甚至目標網路重覆發送流量,也沒有終止方法,引發阻斷服務 (DoS) 攻擊將之沖垮。
根據卡奈基美隆大學 CERT 協調中心 (CERT/CC) 說明,當攻擊者濫用了這漏洞,可能有三種結果。一是服務過載而當掉或變得不穩。二是對網路骨幹發動 DoS 攻擊.導致網路斷線。三是引發流量放大攻擊,像是放大 DoS 或 DDoS 攻擊。
發展出這項攻擊的 CISPA 研究人員 Yepeng Pa 及 Christian Rossow 表示,支持網際網路基礎功能,如時間同步、網域解析、無驗證檔案傳輸的舊式(QOTD 、 Chargen 、 Echo)或新式協定(DNS 、 NTP 、 TFTP)都可能受到影響。
CERT/CC 解釋,如果二台應用伺服器上述 UDP 協定有不當實作,攻擊者就能以一台伺服器啟動通訊,但偽裝成第二台(目標)伺服器的網址,CERT/CC 說,通常第一台伺服器會對第二台(目標)伺服器回傳錯誤訊息,又觸發對第一台伺服器的錯誤訊息,引發無窮無盡的循環,直到網路頻寬塞滿或運算癱瘓,使伺服器無法回應合法呼叫。
研究人員說,這項漏洞很容易遭到濫用,他們在其測試中,估計有 30 萬連網主機可能曝險。但目前沒有證據顯示正發生攻擊。
軟、硬體及晶片業者包括博通、思科、微軟、 Honeywell 、 MikroTik 等都證實其實作受 CVE-2024-2169 的影響。
為免 Loop DoS 攻擊風險,CERT/CC 建議用戶安裝廠商的最新修補程式,而已經 EoL (End of Lifecycle) 的產品則應儘速汰換。
此外,用戶也可以設定防火牆規則和 UDP 應用的存取控制表 (ACL) 、關閉不必要的 UDP 服務、實作 TCP,或驗證呼叫(伺服器的)身份,藉此降低攻擊風險。當然,部署防範 IP 偽造的安全產品如 BCP38 、 uRPF (Unicast Reverse Path Forwarding),並使用 QoS 措施防止網路流量過大,杜絕網路迴圈和 DoS 放大等網路攻擊。