Maestro 一种利用BGP编排恶意流的新攻击

互联网 2020-04-03 14:24:15

田纳西大学(University of Tennessee)的研究人员最近发现了Maestro攻击,这是一种新的链路洪泛攻击(LFA),它利用飞机交通控制工程技术来集中来自僵尸网络的分布式拒绝服务(DDos)流。在他们最近发表在arXiv上的论文中,研究人员概述了这种类型的攻击,试图了解其范围,并为那些希望将自己与之隔离的网络运营商提供了有效的缓解措施。

分布式拒绝服务(DDos)攻击通过引导来自internet上不同来源的流量来压倒目标系统的容量。尽管研究人员已经引入了大量的缓解和防御技术来保护用户免受这些攻击,但它们仍在激增。链路洪泛攻击(LFA)是针对基础设施链路的一种特定类型的DDoS攻击,通常由僵尸网络发起。

“在调查如何ISP可以单枪匹马地抵御大规模的拒绝服务攻击,我们意识到我们使用相同的技术来抵挡攻击可能被敌人利用记下自己的防守,”杰瑞德史密斯的研究人员进行的这项研究,对TechXplore说。“这促使我们探索如何利用BGP中毒这一技术来实施这样的攻击。”

当Smith和他的同事Tyler McDaniel和Max Schuchard试图开发针对DDoS攻击的防御时,他们探索了对手影响路由决策的能力(即他/她对受攻击的边界网关协议或BGP speaker的访问权)是如何将远程网络的路径选择过程塑造成对他们有利的。在调查过程中,他们发现了一种新型的LFA攻击,他们称之为Maestro攻击。

“我们正在研究针对互联网基础设施链接的DDoS攻击,”麦克丹尼尔告诉TechXolore。这些攻击受到internet路由特性的限制,因为DDoS源并不总是为其跨目标链接的流量提供一个目的地。Maestro攻击利用互联网路由器用于通信的语言(即BGP)中的漏洞来克服这一限制。

Maestro攻击的工作原理是通过从互联网路由器发送欺骗性的BGP消息,将入站流量(即流入路由器的流量)引导到目标链路。同时,它利用僵尸网络对同一路由器进行DDoS攻击,僵尸网络最终将DDoS流量注入目标链路。

换句话说,Maestro精心安排了远程自主系统(ASes)和bot流量目的地的路径选择,以便将恶意流量引导到僵尸网络无法访问的链接上。要实施这种攻击,用户需要有两个关键工具:一个边缘路由器和一个僵尸网络。

“对于我们的主要僵尸网络模型之一,Mirai,一个定位良好的大师攻击者可以预期带来一百万个额外的受感染的主机到目标链接,而不是传统的DDoS链接,”麦克丹尼尔说。“这个数字相当于整个僵尸网络的三分之一。”

研究人员表示,为了使自己免受这种攻击,或者至少降低成为攻击目标的风险,网络运营商应该过滤掉有毒的BGP消息。然而,有趣的是,在他们的实验室进行的研究显示,目前大多数路由器并不过滤这些信息。

麦克丹尼尔说:“一个可以攻击或购买互联网路由器的对手可以散布欺诈性信息,以加强对互联网基础设施的攻击。”“这很令人担忧,因为之前的研究已经提出了大规模DDoS链接被武器化的可能性,从而将设施或整个地理区域与互联网隔离开来。”

除了引入Maestro攻击外,由Smith、McDaniel和Schuchard进行的研究进一步证明了BGP不再是一个理想的、可扩展的、安全的路由协议。以前的研究以及最近的一些事件,如3ve欺诈操作和中国电信的劫持事件,已经表明了这一点。根据研究人员的说法,尽管像对等锁这样的升级可以帮助防止这种特定的攻击,但用一个全新的下一代系统(如SCION)取代BGP将是最有效的解决方案。

“未来,我们主要探索两个方向,”史密斯说。“首先,在与ISP运营商讨论Maestro的时候,我们发现他们对互联网到底有多脆弱有不同的看法。我们的实验室有积极测量互联网行为的历史,我们正致力于测量人类操作员的直觉和互联网的实际行为。其次,我们已经看到了将Maestro扩展到工作的强大成果,即使你没有一个庞大的僵尸网络可用。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢