攻击者可以将防火墙和中间包武器化，以应对更大的DDoS攻击

在中间盒和审查基础设施中实施TCP协议的弱点可能会被武器化，成为对任何目标发起反射式拒绝服务（DoS）放大攻击的载体，超过目前许多基于UDP的放大因子。

由马里兰大学和科罗拉多大学博尔德在USENIX安全研讨会上的一组学者详细介绍，体积攻击利用了TCP在NealthBox和Sype 8212中的不遵从性；比如防火墙、入侵防御系统和深度数据包检查（DPI）盒—；为了放大网络流量，数十万个IP地址提供的放大系数超过了DNS、NTP和Memcached的放大系数。

这项研究在大会上获得了杰出论文奖，是同类研究中首次描述了一种通过在野外滥用中间盒错误配置在TCP协议上实施DDoS反射放大攻击的技术，这种方法以前被认为可以有效防止此类欺骗攻击。

反射放大攻击是一种DoS攻击，在这种攻击中，对手利用UDP协议的无连接性，向配置错误的开放服务器发送虚假请求，以大量数据包淹没目标服务器或网络，造成中断或使服务器及其周围基础设施无法访问。当来自易受攻击服务的响应大于伪造请求时，通常会发生这种情况，然后可以利用伪造请求发送数千个此类请求，从而显著放大发送给目标的大小和带宽。

虽然由于TCP通过基于IP的网络（SYN、SYN+ACK和ACK）建立TCP/IP连接的三方握手过程中出现的复杂性，DoS放大传统上是基于UDP的，但研究人员发现，大量网络中间盒不符合TCP标准，而且他们可以“用大数据块页面响应欺骗的、经过审查的请求，即使没有有效的TCP连接或握手”，从而使这些设备成为DoS放大攻击的诱人目标。

研究人员说：“从设计上看，中间盒通常不符合TCP：许多中间盒试图处理非对称路由，在这种情况下，中间盒只能看到连接中数据包的一个方向（例如，客户端到服务器）。”。“但这一功能会让它们受到攻击：如果中间盒仅基于连接的一侧注入内容，攻击者可以欺骗TCP三方握手的一侧，并说服中间盒存在有效的连接。”

换言之，该机制的关键在于诱使中间盒在不完成三方握手的情况下注入响应，然后使用它访问色情、赌博和文件共享网站等禁止的域，从而导致中间盒以块页面进行响应，这将比经过审查的请求大得多，从而导致放大。

更重要的是，这些被放大的回应不仅主要来自中间包，这些网络检查设备中有很大一部分是民族国家的审查机构，突显了这种基础设施在让政府能够压制对其境内信息的访问方面所起的作用，更糟的是，允许对手将网络设备武器化，以攻击互联网上的任何受害者。

研究人员说：“国家审查基础设施位于高速ISP上，能够以难以置信的高带宽发送和注入数据。”。“这使得攻击者可以放大更大数量的流量，而不必担心放大器饱和。其次，可用于触发放大攻击的巨大源IP地址池使得受害者很难简单地屏蔽少数反射器。国家审查机构有效地关闭了每一个可路由IP地址（sic）在他们的国家内成为一个潜在的放大器。"

研究人员补充说：“中间包带来了一种意想不到的、尚未开发的威胁，攻击者可以利用这种威胁发起强大的拒绝服务攻击。”。“保护互联网免受这些威胁需要许多中间包制造商和运营商的共同努力。”