“心脏滴血”可能引发DDoS攻击吗?

2014-04-24 |  作者:blackscreen |  来源:独家 |  查看原文

摘要至少在当下,利用“心脏滴血”漏洞发动DDoS攻击的可能性不大。但是Lyon提醒,当下的结论只是当下的猜测,不排除在不远的将来有人会利用类似的漏洞发起DDoS攻击。

“‘心脏滴血’漏洞可以被利用发起放大DDoS攻击,放大的倍数是3000倍!”对于这样的论断你怎么看?这是Twitter上的言论。

扯淡!你可能会这么说,NTP才尼玛放大400倍,“Heartbleed”怎么可能放大得更多?

你说的很对。问题的关键不是放大多少倍,而是“Heartbleed”基于TLS,需要维持TCP会话,NTP基于UDP,没有状态,因此不可能发生类似NTP或DNS的反射放大情况。

不过,有人提醒,不要忘了TLS还有个兄弟——DTLS——基于UDP的TLS哦。基于UDP可以取得更高的通信性能,但是DTLS可是不基于状态的哦。那么是否可以被利用发起反射放大DDoS攻击呢?

针对这个问题,Black Lotus的Jeffrey A. Lyon做了详细解答。

Lyon的答案:不太可能。感谢RFC4347,它在DTLS通信中增加了cookie机制。发送一方在发送request信息的时候,加入cookie,并要求应答一方在返回的报文中携带同样的cookie,才可能继续接下来的通信。这样一来在很大程度上规避了反射的风险。

其次,如果攻击者绕过了Cookie机制怎么办?不是不可能。但是,DTLS自身具有天然的免疫力。首先,DTLS的应用很少。没有获得广泛应用的原因恰恰是其安全机制。虽然是UDP(+微信网络世界),但是由于引入了很多类似TCP的验证,使得原有UDP的高效丧失,效率上不比TCP高,因此采用DTLS的价值不太大。即便采用了DTLS,利用request信息获得反射response报文的放大倍数是相当低的,比NTP和DNS反射倍数小很多,攻击ROI是很低的。攻击者与其使用复杂的DTLS来放大,不如选择更简单方便的NTP或DNS协议。

简言之,至少在当下,利用“心脏滴血”漏洞发动DDoS攻击的可能性不大。但是Lyon提醒,当下的结论只是当下的猜测,不排除在不远的将来有人会利用类似的漏洞发起DDoS攻击。

为啥?安全攻击变化太快。

相关文章