Citrix ADC设备被黑客滥用发起DDoS攻击

近日，据外媒相关报道，有攻击者利用 Citrix ADC (Application Delivery Controller) 网络设备向 Steam、Xbox 等在线游戏服务发起拒绝服务攻击(DDoS)。首波攻击上周被德国 IT 系统管理员 Marco Hofmann 发现并记录在案，目前官方尚未发布修复补丁。

攻击者是通过Citrix ADC设备上的DTLS接口进行DDoS攻击的。DTLS是一种基于UDP的安全通信协议，旨在防止窃听，篡改和消息伪造，提高数据传输的安全性。在过去的攻击中，基于DTLS协议的放大因子通常将原攻击包放大4-5倍，但Citrix ADC设备允许攻击者得到36倍放大系数的DTLS反射包，被不法分子当作DDoS放大载体。

这意味着，攻击者可以向具有DTLS功能的设备发送小的DTLS数据包，并将结果以一个大很多倍的数据包返回到一个被欺骗的IP地址(DDoS攻击受害者)。原数据包被放大多少倍，决定了具体协议的放大系数。在多家媒体报道之后，Citrix 也承认这个问题，并承诺会在近日发布修复补丁。该公司表示，已经有证据表明有黑客利用该DDoS向全球少数客户发起攻击，受害者多为在线游戏服务提供商，如Steam，Xbox。

该反射攻击导致Citrix ADC设备的网络吞吐达到上限，引起网络出站带宽耗尽。在有限的带宽情况下，对于连接数的影响更为显著。此外，当攻击者伪造源IP，利用僵尸网络向ADC发起DTLS Hello报文时，ADC会向该伪造IP返回被放大数倍的响应包，导致受害者网络瘫痪。

在Citrix准备好官方缓解措施之前，墨者安全首席安全顾问“孤之剑”推荐两个临时的修复方法。

第一种是在不使用Citrix ADC DTLS接口的情况下，禁用该接口。

说明：禁用DTLS协议可能会导致使用DTLS的实时应用程序的性能下降。下降程度取决于多个变量。如果您的环境中不使用DTLS，暂时禁用该协议则不会对性能造成影响。

第二种是如果需要DTLS接口，建议强制设备验证传入的DTLS连接，尽管这可能会因此降低设备的性能。

互联网行业是一个蓬勃发展的行业，同时也是一个存在很多恶意竞的高风险行业。新春将至，网络攻击也变得越来越频繁，互联网企业应加强自身网络安全意识，墨者安全资深安全专家“安大师”建议企业应提前做好安全预防，保证服务器处于安全稳定的网络环境中，避免因网络攻击对企业造成不必要的损失。