研究人员表示，数百万台主机容易受到 DDOS 攻击（研究人员报告一次超过 10,000 个）

比利时的研究人员接受尚未承认他们在互联网上确定了超过400万弱势主机的流量，而首席信息安全官（CISO）和网络产品制造商已经采取了行动。可能被滥用为一条路代理。 攻击者已被滥用，以使数据包源地址欺骗，以便访问组织的专用网络或启动新的服务拒绝。

由安吉洛斯·贝蒂斯（Angelos Beytis）和鲁本大学（University of Ruben）的分散研究部门Masha Van Hoev撰写的学术论文提供了相关证据。

首先，我们使用七个扫描方法来扫描桌面计算机，云服务器，核心爱好者等。 IP（IPIP），IP（IPIP），一般路由胶囊（GRE），IPv6 IPv4（4in6）或IPv4（6in4）流量不受IP（IPIP）的批准。 默认情况下，不使用身份验证或加密。 作者写道，这些主机不能被现有的攻击滥用，但也发现研究人员可以促进新的分布式服务拒绝（DDOS）放大攻击。 一项攻击集中在特定时间的流量上，另一个循环数据包专注于易受伤害的主机之间的数据包，该数据包至少16次和75次。

此外，这些主机可能会受到称为Edos Attack（Edos）攻击的作者的影响。 主机的出站带宽已经用尽。 主机容易受到主机的影响，收件人可以发送流量将滥用报告提交给主机互联网服务提供商，这可能导致帐户暂停。 但是，

国防措施指出，主要信息安全代表并非没有防御能力。 首先，主机必须使用一系列的安全协议来提供身份验证和加密，例如IPSEC（Internet协议安全）。 IPSEC通常用于建立一个虚拟专用网络（VPN），该网络（VPN）加密IP数据包来验证数据包的来源。

IPSEC可以运输任何IP协议，以保护讨论中的所有讨论。论文指出，主机需要仅接受由IPSEC保护的隧道数据包。

第二，您可以在路由器或其他Internet上实现入口和其他中间设备。 论文指出，这些数据包可能会被破坏，具体取决于网络中的隧道主机的数量，在第三个保护方面意味着预防或限制。 这与GRE结合使用了某些网络。 但是，由于配置，错误也接受不chatered的GRE数据包，因此网络可以防止无限的GRE数据包。

SANS研究所的主任评论说，主机接受不受欢迎的流程的问题并不新鲜。 今年，我发现大约有6对4隧道用于与互联网上的僵尸网络进行通信。 这个问题是一种过渡技术，可以提供可以连接到IPv6的IPv6连接到IPv6兼容主机。 没有IPv6网络的IPv6网络。 他补充说，这实际上是几次使用的，但是在大多数操作系统中，这从来都不是一个大问题。”

这篇重要的论文指出，隧道协议（包括IPIP和GRE）是互联网上重要的支柱。 这些协议可以切断或断开连接。 连接的网络形成虚拟网络（VPN）。。

本文在先前的研究中接受了错误的设置IPv4主机，他指出，他指出，这表明可以欺骗IPv4地址。 根据作者的调查，可以使用其他隧道协议滥用IPv4和IPv6主机。 两名研究人员发现的新扩增DOS攻击包括以下内容： 隧道时间镜头（TUTL）：此攻击集中于攻击者在时间内生成的数据包。 例如，攻击者发送一个持续10秒钟的数据包，滥用协议属性，确认其在第二个子窗口中到达受害者，并且至少具有效果的10倍。 攻击者通过不同的脆弱主机链发送流量，以便所有流量同时到达受害者。 PING-PONG攻击：此攻击循环数据包由弱势主机之间的攻击者发送。 本文指出，攻击者的想法是构建一个隧道数据包，其中包含另一个隧道数据包作为内包，直到达到最大数据包大小为止。 内部数据包IP标头具有另一个脆弱的主机。 换句话说，（去除胶囊）数据包在主机之间连续发送。 新型的经济拒绝可持续性（EDOS）攻击是通过使用ping -pong -pong攻击来增加带宽的云成本。

作者写道：“ Tutl攻击特别关注，因为他们可以滥用对互联网上的第三方进行DOS攻击。” 他写道：“在我们的测量结果中，许多自治系统（总共4,000个或更多）表明，由于无法实施源地址过滤（适当），因此可以欺骗源IP地址。” “我们希望我们的结果受到启发，并指导管理员更好地保护隧道的措施。”使用旧设备，可以过渡到IPv6兼容网络，并保持简单性和性能。 在网络中，多年来尚未解决此问题。

他们补充说：“无论如何。” “这个问题不容易解决。有些ISP的设备可能不正确，因此您需要调整替代方案。作者在一封电子邮件中表示：“ISP 应该采用长期推荐的过滤机制来禁止伪造流量，特别是入站和出站过滤。” ISP 还应确保设备默认情况下不会转发未经身份验证/加密的隧道数据包。 他们指出，该论文还讨论了对可疑隧道数据包进行深度数据包检查的必要性。

作者补充说，VPN 提供商应通过合并 ID 来确保这一点。 身份验证和加密措施，确保客户连接 VPN 服务器的隧道协议是安全的（Wireguard、IPS C 协议套件、OpenVPN 等）。 网络设备供应商必须确保其设备默认不处理不安全的数据包。 理想情况下，其使用应限制为仅与 IPsec 一起使用，并且如果设备配置为接受未经身份验证的隧道数据包，则应发出警告。 作者还介绍了 CISO 组织何时拥有自己的 IP 范围。 例如，Shadowserver 可以运行每日扫描并通知易受攻击的主机的所有者，因此您必须向 Shadowserver Foundation 注册才能接收自动警报。 否则，您的组织可以请求访问作者的工具，以确保您的网络中没有开放的隧道主机。