多家安全及網(wǎng)絡(luò )廠(chǎng)商研究人員發(fā)現一款I(lǐng)P網(wǎng)絡(luò )設備漏洞，理論上能讓攻擊者以1個(gè)封包引發(fā)42億倍放大率的反射放大DDoS流量，而且已經(jīng)有黑客實(shí)際開(kāi)采向企業(yè)發(fā)動(dòng)攻擊。

　　資安、網(wǎng)絡(luò )服務(wù)、電信及設備業(yè)者包括Akamai、Cloudflare、Lumen Black Lotus Labs、Mitel、Netscour、Team Cymru、Telus和The Shadowserver基金會(huì )，他們在今年1月到2月初，觀(guān)察到一波來(lái)自UDP傳輸埠10074的DDoS流量，攻擊寬頻ISP、金融機構、運籌及其他產(chǎn)業(yè)公司。

　　分析顯示是加拿大電信業(yè)者M(jìn)itel開(kāi)發(fā)，主要用于在VoIP通訊傳輸中，扮演PBX系統和網(wǎng)際網(wǎng)絡(luò )間閘道的MiCollab及MiVoice Business Express，遭黑客利用發(fā)動(dòng)這波DDoS。近2600臺這類(lèi)系統因為在一次流量壓力測試中，部署錯誤曝露于網(wǎng)際網(wǎng)絡(luò )，一項漏洞被黑客開(kāi)采后被當作攻擊跳板。

　　研究團隊分析這是一波UDP反射/放大（reflection/amplification）DDoS攻擊。根本原因是Mitel系統中，一項促進(jìn)系統與TDM/VoIP PCI網(wǎng)卡間傳輸的服務(wù)tp240dvr遭到濫用。這項服務(wù)原本不應曝露于網(wǎng)際網(wǎng)絡(luò )，但是它卻在一次對客戶(hù)的流量壓力測試中，因一項「罕見(jiàn)的」指令而曝露于網(wǎng)際網(wǎng)絡(luò )。本次壓力測試發(fā)出的指令，能下達命令使tp240dvr服務(wù)（以及Mitel服務(wù)器）發(fā)送極大狀態(tài)更新封包，因此攻擊者可下達惡意指令，促使tp240dvr服務(wù)發(fā)送大量流量。本次Mitel MiCollab 及MiVoice Business Express服務(wù)器，即被用作DDoS攻擊的放大器。

　　研究人員另外進(jìn)行的實(shí)驗顯示，這項漏洞具有引發(fā)空前DDoS流量的潛力。在此之前，此類(lèi)攻擊流量大約是53Mpps及23Gbps，平均封包大小將近60bytes，持續時(shí)間約5分鐘。但最新發(fā)現的漏洞理論上，能讓攻擊者利用1個(gè)封包來(lái)引發(fā)破記錄，最大4,294,967,296:1封包放大倍數，以80kpps傳輸率導向受害DDoS放大器，時(shí)間可長(cháng)達14小時(shí)，封包最大可到1,184 bytes。

　　而經(jīng)過(guò)反射放大，導向受害目標的流量可達95.5GB，加上「診斷式輸出」（diagnostic output）封包，最后抵達目標網(wǎng)絡(luò )的流量放大比例，理論上可達到2,200,288,816:1，即22億倍。研究團隊最后實(shí)際產(chǎn)出了超過(guò)400Mpps的DDoS攻擊流量。

　　研究人員指出，只使用1個(gè)封包的攻擊能力將使ISP無(wú)法追查出攻擊來(lái)源，有助于隱藏產(chǎn)生流量的基礎架構，也讓研究人員更難發(fā)現它和其他UDP放射/放大DDoS的相似性。

　　不過(guò)經(jīng)過(guò)Mitel修補，其政府、商業(yè)及其他單位使用的數萬(wàn)臺系統問(wèn)題已經(jīng)獲得解決。此外，研究團隊指出，這波反射/放大DDoS攻擊可以標準的DDoS防御攻擊和手法來(lái)偵測、分類(lèi)、追查及緩解。利用開(kāi)源或市售的流量測試及封包擷取工具，就能偵測并提早示警。而網(wǎng)絡(luò )存取表或DDoS緩解系統服務(wù)則能緩解攻擊。

　　但研究人員仍提醒Mitel MiCollab和MiVoice Business Express用戶(hù)應提高警覺(jué)，并盡速請廠(chǎng)商修補漏洞。