援引外媒 ZDNet 今天早些時候報導,有攻擊者利用 Citrix ADC 網絡設備向 Steam、Xbox 等在線遊戲服務發起拒絕服務攻擊(DDoS)。首波攻擊上周被德國 IT 系統管理員 Marco Hofmann 發現並記錄在案。
圖片來自於 WikiMedia
隨後 Hofmann 追蹤到了 Citrix ADC 設備上的 DTLS 接口。DTLS,即數據報傳輸層安全,是 TLS 協議的一個更多版本,實現在對流友好的 UDP 傳輸協議上,而不是更可靠的TCP。就像所有基於UDP的協議一樣,DTLS是可欺騙的,可以作為DDoS放大載體。
這意味著,攻擊者可以向具有DTLS功能的設備發送小的DTLS數據包,並將結果以一個大很多倍的數據包返回到一個被欺騙的IP位址(DDoS攻擊受害者)。原數據包被放大多少倍,決定了具體協議的放大係數。對於過去基於 DTLS 的 DDoS 攻擊,放大係數通常是原始數據包的 4-5 倍。
不過在本周一的報告中,在 Citrix ADC 設備上實現的 DTLS 似乎被放大了 35 倍,使其成為最有力的 DDoS 放大載體之一。在多家媒體報導之後,Citrix 也承認這個問題,並承諾會在聖誕節假期之後在明年 1 月中旬發布修復補丁。該公司表示,已經有證據表明有黑客利用該 DDoS 向全球少數客戶發起攻擊。
當攻擊者濫用Citrix ADC設備時,他們可能最終會耗盡其上游帶寬,造成額外的成本並阻止來自ADC的合法活動。
在Citrix準備好官方緩解措施之前,出現了兩個臨時的修複方法。第一種是在不使用Citrix ADC DTLS接口的情況下,禁用該接口。第二種是如果需要 DTLS 接口,建議強制設備驗證傳入的 DTLS 連接,儘管這可能會因此降低設備的性能。