En las últimas semanas, los investigadores de Akamai comenzaron a observar múltiples campañas de ataque de denegación de servicio (DDoS) distribuidas contra clientes de Akamai que habían incluido inundaciones SYN y altos volúmenes de tráfico: Hasta 11 Gbps a 1.5 Mpps (Millones de paquetes por segundo). Al examinar los paquetes TCP utilizados en el ataque, se observó que se estaría utilizando un nueva técnica conocida como TCP Middlebox Reflection.

TCP Middelbox Reflection se reveló por primera vez como un nuevo vector de ataque DDoS en agosto de 2021 en un artículo escrito por investigadores de la Universidad de Maryland y la Universidad de Colorado Boulder. "Cajas intermedias de armamento para amplificación reflejada TCP" ilustró cómo se puede aplicar disposiciones como firewalls y sistemas de filtrado de contenido en ataques TCP reflectantes. La amplificación DDoS de Middlebox es un tipo completo nuevo de ataque de reflexión/amplificación TCP que es un riesgo para internet.

Esta es la primera vez que se observa esta técnica en la naturaleza. Los atacantes pueden crear varias secuencias de paquetes TCP que contienen encabezados de solicitud HTTP; en estos encabezados HTTP, se usa un nombre de dominio para un sitio bloqueado como encabezado del host. Cuando estos paquetes son recibidos por el middlebox que está configurado para no permitir el acceso al sitio, el middlebox responde, generalmente con encabezados HTTP y, en algunos casos, páginas HTML completas.  Estas respuestas brindan a los atacantes una oportunidad de reflexión y, en algunos casos, un factor de amplificación significativo.

Para generar ataques de denegación de servicio reflexivo distribuido (DRDoS), un atacante falsifica las IP de origen de la víctima prevista, lo que resulta en tráfico de respuesta dirigido a la víctima desde los puntos medios. Los sistemas de Middlebox que se han configurado de esta manera se pueden encontrar en redes en todo Internet, ya que son comúnmente utilizados por los estados-nación para hacer cumplir las leyes de censura o por las políticas de filtrado de contenido de empresas corporativas.

El Centro de Comando de Operaciones de Seguridad de Akamai ha observado múltiples campañas de ataque de middlebox dirigidas a las industrias bancarias, de viajes, juegos, medios y de alojamiento web. Los ataques observados que aprovechan esta técnica hasta ahora siguen siendo pequeños en comparación con otros vectores, pero parecen estar creciendo en popularidad y tamaño.

Los primeros ataques de la serie alcanzaron un pico de 50 Mbps. Los actores detrás de estas campañas recientes parecen estar perfeccionando la capacidad y/o afinando su conjunto de reflectores favorecidos. Los ataques más recientes dirigidos a los mismos grupos de víctimas que usan el mismo vector de caja intermedia alcanzaron picos de 2,7 Gbps y 11 Gbps, con el ataque de 11 Gbps golpeando 1,5 Mpps.

Aunque el tráfico de ataque actual es relativamente pequeño, se espera que crezca en el futuro, debido a la amplificación significativa que ofrece a un atacante.