在中介軟體和審查基礎設施中實施 TCP 協議的弱點可以被武器化為一個載體，以進行反射拒絕服務 （DoS） 放大攻擊，超過了許多現有的基於 UDP 的放大因素。

來自馬里蘭大學和科羅拉多大學博爾德分校的一組學者在 USENIX 安全研討會上詳細介紹了體積攻擊利用 TCP 不合規的網路中介軟體——例如防火牆、入侵防禦系統和深度資料包檢查 （DPI） 盒 — 放大網路流量，數十萬個 IP 地址提供的放大係數超過 DNS、NTP 和 Memcached。

反射

放大攻擊是一種 DoS 攻擊，攻擊者利用 UDP 協議的無連線特性向配置錯誤的開放伺服器發出欺騙性請求，以便用大量資料包淹沒目標伺服器或網路，從而導致中斷或渲染伺服器及其周邊基礎設施無法進入。

這通常發生在來自易受攻擊的服務的響應大於欺騙請求時，然後可以利用欺騙請求傳送數千個這樣的請求，從而顯著放大發送給目標的大小和頻寬。

雖然 DoS 放大傳統上是基於 UDP 的，因為 TCP 的三向握手會在基於 IP 的網路（SYN、SYN+ACK 和 ACK）上建立 TCP/IP 連線所產生的複雜性，但研究人員發現，大量的網路中介軟體不符合 TCP 標準，並且它們可以“響應帶有大塊頁面的欺騙審查請求，即使沒有有效的 TCP 連線或握手”，將這些裝置變成有吸引力的 DoS 放大攻擊目標。

“中間盒往往不是TCP-符合的設計：許多中介軟體嘗試［轉］處理非對稱路由，其中中介軟體只能看到資料包的一個方向的連線（例如，客戶機到伺服器），”研究人員說。“但這個功能讓他們容易受到攻擊：如果中介軟體僅基於連線的一側注入內容，攻擊者就可以欺騙 TCP 三向握手的一側，並說服中介軟體存在有效連線。”

更重要的是，一系列實驗發現，這些放大的反應主要來自中介軟體，包括民族國家審查裝置和企業防火牆，突出了此類基礎設施在使政府能夠抑制對其境內資訊的訪問方面所發揮的作用，更糟糕的是，允許對手將網路裝置武器化以攻擊任何人。

研究人員說：“國家審查基礎設施位於高速 ISP 處，能夠以令人難以置信的高頻寬傳送和注入資料。” “這允許攻擊者放大大量流量，而不必擔心放大器飽和。其次，可用於觸發放大攻擊的大量源 IP 地址池使受害者很難簡單地阻止少數反射器。審查員有效地將其國內的每個可路由 IP 地址（原文如此）變成了潛在的放大器。”

“中間盒引入一個意外，尚未利用的威脅，攻擊者可以利用發動強大的DoS攻擊，”研究人員補充。“保護網際網路免受這些威脅需要許多中介軟體製造商和運營商的共同努力。”