Атакующие могут использовать файрволы и мидлбоксы для усиления DoS-атак

Екатерина Быстрова 17 Августа 2021 - 12:04

...

Уязвимости в имплементации протокола TCP, затрагивающие мидлбоксы (Middlebox — сетевое устройство, преобразующее и фильтрующее трафик), могут использоваться в качестве вектора DoS-атаки и позволяют значительно усилить мощность подобного киберудара.

Атаки амплификации (усиления) DoS — давно известная тактика киберпреступников, пытающихся положить сети своих целей. Именно этому аспекту уделили внимание специалисты Мэрилендского и Колорадского университетов на симпозиуме USENIX Security.

В частности, эксперты описали способ усилить DoS-атаки с помощью файрволов, систем предотвращения вторжений (Intrusion Prevention System, IPS) и проверки сетевых пакетов (Deep Packet Inspection, DPI).

По словам исследователей, это первая задокументированная тактика усиления DoS по протоколу TCP. Её суть заключается в использовании неправильно сконфигурированных мидлбоксов.

Проблема, как отметили специалисты, кроется в большом количестве сетевых устройств Middlebox, которые по тем или иным причинам не соответствуют стандарту TCP. На деле они могут «отвечать на специально сформированные запросы большими страницами блокировки, даже если в этот момент нет валидного TCP-соединения или хендшейка».

«Мидлбоксы часто не соответствуют TCP. Многие подобные сетевые устройства пытаются обрабатывать асимметричную маршрутизацию, хотя они могут наблюдать лишь односторонне перемещение пакетов», — объясняют исследователи.

«Такой подход открывает мидлбоксы для атак, ведь злоумышленник может сымитировать одну сторону общего трёхстороннего TCP-хендшейка и убедить сетевое устройство в том, что это вполне валидное соединение».

Помимо этого, тактика исследователей вращается вокруг использования запросов к заблокированным доменам, на которых крутятся, например, порнографические и другие запрещённые сайты. Смысл в том, чтобы заставить мидлбокс ответить на запрос страницей блокировки, которая значительно превышает его по размерам. Именно так достигается так называемая амплификация.

Подробнее о методе можно почитать в опубликованном по итогам симпозиума документе (PDF).

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Яков Шпунт 27 Апреля 2026 - 10:33

Мошенничество Онлайн-мошенничество Домашние пользователи F6

Злоумышленники резко активизировали продажи фейковых билетов на концерты

Компания «Эфшесть»/F6 сообщила о заметной активизации мошенников, продающих фейковые билеты на концерты в России и за рубежом. При этом злоумышленники меняют тактику: если раньше они чаще использовали фишинговые сайты, то в 2026 году основная активность сместилась в мессенджеры и социальные сети.

О росте числа мошеннических схем с продажей поддельных электронных билетов на концертно-зрелищные мероприятия сообщает РИА Новости со ссылкой на F6. Аферисты активно используют бренды как российских, так и зарубежных исполнителей.

В 2026 году злоумышленники изменили подход. Раньше они чаще предлагали поддельные билеты через фишинговые ресурсы или сайты-двойники популярных агрегаторов, а теперь основными каналами стали мессенджеры и соцсети. Объявления о продаже билетов на мероприятия в России обычно размещают за 1–5 дней или даже за несколько часов до концерта, а на зарубежные события — за 2–3 месяца.

Количество таких объявлений напрямую зависит от интереса к мероприятию. В среднем перед каждым концертом появляется около 300 публикаций, выполненных по единому шаблону и размещённых с подставных аккаунтов, которые затем быстро удаляют.

«Переписка с "продавцом" происходит в личных сообщениях. Злоумышленники охотно и дружелюбно отвечают на вопросы потенциальных покупателей. При продаже билетов на зарубежные концерты "продавцы" обычно уверяют, что передача билетов покупателю будет проводиться через официальный сайт организатора концерта», — говорится в сообщении компании.

После этого мошенники просят перевести деньги любым удобным способом и обещают отправить квитанцию после поступления платежа. Когда пользователь оплачивает «билет», его просят «подождать подтверждения» или сообщают о якобы возникших «проблемах с поддержкой».

В F6 рекомендуют покупать билеты на концерты, спектакли и другие мероприятия только через официальные ресурсы. Любые предложения в мессенджерах, социальных сетях и на досках объявлений следует рассматривать как потенциально мошеннические.

Помимо билетов на концерты и спектакли, злоумышленники уже давно освоили продажу фейковых авиабилетов. В таких схемах целью часто становится не только получение денег за несуществующие билеты, но и кража платёжных реквизитов. Кроме того, продажа поддельных билетов уже давно стала частью схем с фальшивыми свиданиями.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!