近日，内容分发网络（CDN）运营商Akamai表示，一种使网站快速瘫痪的DDoS放大攻击新方法正在被不法分子所利用。这种方法是通过控制数量巨大的中间设备（middlebox，主要是指配置不当的服务器），可以将大量垃圾数据快速放大到之前无法想象的规模。

这些中间设备大多未遵循传输控制协议规范——在建立连接之前，这种规范需要三方握手，这个握手过程包括客户端发送SYN数据包、服务器发送SYN+ACK响应以及客户端发送用于确认的ACK数据包。

由于ACK确认数据包必须来自合法用户，而不是欺骗目标IP地址的攻击者，这种握手机制会阻止基于TCP的应用程序被用作放大器。但是考虑到需要处理非对称路由，这类中间设备有意放弃了这一要求。这就使得攻击者可以通过放大手法提高攻击力，实施更具破坏力的DDoS攻击活动。

隐藏的武器库

去年8月，马里兰大学和科罗拉多大学博尔德分校的研究人员发表的研究结果表明，攻击者有能力利用这数十万个中间设备发动最严重的分布式拒绝服务（DDoS）攻击。攻击者使用DDoS向网站发送流量或超出服务器处理能力的垃圾数据，从而使其拒绝向合法用户提供服务。DDoS类似以前的这种恶作剧——将更多电话转到电话线不够处理的比萨店。

为了尽量加大损害并节省资源，DDoS攻击者常常通过放大手法提高攻击力。放大攻击的原理是，欺骗目标的IP地址，并向用于解析域名、同步计算机时钟或加快数据库缓存的配置不当的服务器发送数量较少的数据。由于服务器自动发送的响应比请求大几十倍、几百倍甚至几千倍，所以这种自动响应让受骗的目标不堪重负。

研究人员表示，他们发现的至少10万个中间设备超过了DNS服务器的放大倍数（约54倍）和网络时间协议服务器的放大倍数（约556倍）。他们发现使用memcached来放大流量的数百台服务器，会产生比上述配置不当的服务器更高的倍数放大流量。memcached用于加速网站的数据库缓存系统，可以将流量增加惊人的51000倍。

以下两个图表明了攻击原理：

研究人员当时表示，他们没有证据表明中间设备DDoS放大攻击在外面被大肆使用，但预计这一天早晚会到来。近日，Akamai研究人员表示，他们已检测到多起DDoS攻击就采用这种方式来使用中间设备，其攻击峰值流量达到11Gbps，每秒150万个数据包。虽然与最大规模的DDoS相比是小巫见大巫，但两个研究团队都预测：随着DDoS攻击者开始优化攻击，并找到更多可以被滥用的中间设备，攻击规模会变得更大。

去年8月发表研究论文的首席研究员Kevin Bock表示，DDoS攻击者有强烈的动机来重现其团队理论上推测的攻击。在Akamai的检测中发现，一个中间设备收到了带33字节有效载荷的SYN数据包，返回了2156字节的回复。也就是说，放大倍数是65，但这种放大攻击手法大有潜力可挖。