Les chercheurs en sécurité ont développé une méthode avec laquelle des attaques DDoS violentes peuvent également être menées via le Transmission Control Protocol (TCP) . En fin de compte, ceux-ci sont encore plus violents que tout ce qui est connu à ce jour. Jusqu'à présent, les attaques DDoS n'ont en fait été exécutées que via des connexions UDP (User Datagram Protocol). Parce que ceux-ci ont l'avantage ici qu'aucune opération d'établissement de liaison complexe n'a lieu entre le client et le serveur. Au contraire, le client envoie généralement une demande et une réponse vient du serveur - c'est tout. Cela permet de réaliser des attaques miroir dans lesquelles un serveur est induit via une usurpation d'adresse IP pour répondre à une petite requête avec la plus grande réponse possible en direction du système cible.

Les connexions TCP, en revanche, nécessitent une communication plus complexe entre les appareils du réseau. En raison de la poignée de main, la connexion ne peut pas être redirigée soudainement avec l'usurpation d'adresse IP. Cependant, les chercheurs ont maintenant trouvé un moyen de mener des attaques miroir via TCP - via une faiblesse dans l'architecture des boîtiers intermédiaires. C'est ce que rapporte le magazine américain The Record . Il s'agit de systèmes réseau situés au milieu des chemins de communication entre les clients et les serveurs : pare-feu, NAT, équilibreurs de charge et dispositifs d'inspection approfondie des paquets (DPI). Dans certaines circonstances, vous pouvez prétendre qu'une négociation TCP pour un paquet de données a déjà été effectuée avec succès. Vous pouvez alors procéder exactement comme vous en avez l'habitude avec les attaques DDoS via UDP.

La procédure est particulièrement efficace lorsque l'on essaie d'accéder à des sites Web bloqués. Ici, les cases du milieu répondent aux petites requêtes avec des pages de blocage à forte intensité de données que l'attaquant peut transmettre au système cible. Dans des tests plus longs, les chercheurs ont découvert que cela fonctionne particulièrement bien lorsque l'infrastructure de blocage des États autoritaires est utilisée comme une surface miroir, car ils renvoient des réponses de blocage particulièrement importantes. Et cela a de graves conséquences. Les attaques UDP peuvent généralement être multipliées par un facteur 2 à 10 via les systèmes miroirs. Dans le cas d'attaques basées sur TCP, en revanche, on peut facilement obtenir des réponses qui ont été renforcées d'un facteur 100 ou plus. Avec un peu d'effort, vous pouvez même trouver des systèmes avec des valeurs nettement plus élevées. En pratique, cela garantirait que les attaquants peuvent utiliser DDoS pour désactiver des cibles même avec des réseaux de zombies plus petits dotés de bonnes mesures de protection et de lignes épaisses.