什么是放大反射DDoS攻擊�����?
放大反射攻擊是一種DDoS攻擊�,它利用UDP的無連接特性和欺騙性請求來錯誤配置Internet上的開放服務(wù)器。當(dāng)涉及到攻擊的大小時���,放大反射攻擊會獲得獎勵�����。
攻擊將大量帶有欺騙受害者IP地址的小型請求發(fā)送到可訪問的服務(wù)器�。服務(wù)器對不知情的受害者進(jìn)行大量放大的答復(fù)�����。服務(wù)器可以執(zhí)行此操作�����,因?yàn)樗鼈兣渲昧斯粽邔で髱椭溥M(jìn)行攻擊的能力的服務(wù)���。
下面來自nat0的視頻簡要介紹了這種DDoS攻擊��。本文提供了基于放大的反射式UDP攻擊的更詳細(xì)說明����。
這些攻擊的最常見類型可以使用數(shù)百萬個公開的DNS,NTP�,SSDP,SNMP和其他基于UDP的服務(wù)�。這些攻擊導(dǎo)致了創(chuàng)紀(jì)錄的巨大體積攻擊,例如基于1.3Tbps的基于Memcached的Github攻擊����,并占了DDoS攻擊的大部分。下圖1中的圖表顯示了2018年7月一周內(nèi)近73%的DDoS攻擊是amp_flood�����。在這里����,您將找到當(dāng)前的攻擊協(xié)議頻率圖。
攻擊者之所以喜歡這種策略����,是因?yàn)槲淦鞒志每捎茫茈y歸因于協(xié)調(diào)器�����,并且只需很少的努力就可以使用少量的機(jī)器人或單個功能強(qiáng)大的服務(wù)器進(jìn)行大規(guī)模的體積攻擊。
放大反射DDoS攻擊中使用的武器
之前��,被利用的工具被稱為“配置錯誤的開放服務(wù)器”��。更好的描述是“管理衛(wèi)生差”�。對于已部署服務(wù)器但沒有適當(dāng)訪問控制的所有者���,服務(wù)器可能實(shí)現(xiàn)特定目的����,或者可能被遺忘且不受管理�����,或者由于無明顯原因無意中暴露給了服務(wù)器���。
例如���,大約有300萬SSDP服務(wù)器重復(fù)用于DDoS攻擊,其放大倍數(shù)大于30倍����。所有者在向互聯(lián)網(wǎng)公開UPnP功能時到底在想什么����?但這就是我們生活的骯臟網(wǎng)絡(luò)世界�����。
Memcached服務(wù)器在UDP放大器列表中尤為引人注目��,這是因?yàn)樗哂芯薮蟮姆糯笙禂?shù)-可能是欺騙請求的51,000倍��。在Github攻擊時���,大約有30萬個暴露的Memcached服務(wù)器��。
下表提供了可利用的UDP服務(wù)及其放大系數(shù)���。可以在國家網(wǎng)絡(luò)安全和通信集成中心的警報(bào)(TA14-017A):基于UDP的放大攻擊中找到此表中的大多數(shù)數(shù)據(jù) ����。
表1:可利用的UDP服務(wù)和放大因子
| 類型 | 放大系數(shù) |
|---|
| 記憶快取 | 10,000至51,000 |
| NTP | 556.9 |
| 查根 | 358.8 |
| 第四季度 | 140.3 |
| RIPv1 | 131.24 |
| CLDAP | 56至70 |
| LDAP | 46至70 |
| 域名解析 | 28至54 |
| 雷神網(wǎng)絡(luò)協(xié)議 | 63.9 |
| TFTP | 60 |
| 固態(tài)硬盤 | 30.8 |
| 微軟SQL | 25 |
| 卡德(P2P) | 16.3 |
| 端口映射(RPCbind) | 7至28 |
| SNMP協(xié)議 | 6.3 |
| Steam協(xié)議 | 5.5 |
| 網(wǎng)絡(luò)BIOS | 3.8 |
| 比特流 | 3.8 |
| 組播DNS(mDNS) | 2至10 |
Memcached服務(wù)器繼續(xù)被利用
自早期以來,互聯(lián)網(wǎng)已得到改善���。業(yè)主正在將服務(wù)器數(shù)量減少到約4萬臺�����。但是��,那些Memcached服務(wù)器繼續(xù)被利用�����。奇虎360網(wǎng)絡(luò)安全研究實(shí)驗(yàn)室的以下圖2提供了有關(guān)全球DDoS威脅狀況的寶貴見解�。在從5月到2018年7月的這段時間內(nèi)�,memcache已經(jīng)表明它仍然是DDoS攻擊的重要部分。
防御反射DDoS攻擊的防御措施
考慮到體積攻擊的瘋狂性質(zhì)�,檢測反射放大攻擊很容易。但是���,緩解攻擊并非易事��,因?yàn)轫憫?yīng)來自遵循RFC結(jié)構(gòu)并使用某些提供用戶依賴功能的服務(wù)的合法來源�����,例如DNS和NTP���。
挑戰(zhàn)在于通過外科手術(shù)將合法用戶的工作負(fù)載與反射的流量區(qū)分開����。在許多情況下�����,受到攻擊的服務(wù)會因響應(yīng)該服務(wù)響應(yīng)緩慢而反復(fù)重試����,因此會看到其他合法用戶流量。這些重試可以錯誤地視為DoS行為����。
緩解放大的反射式DDoS攻擊的四種策略
1.速率限制
速率限制是DDoS緩解策略的常規(guī)類別。該限制可以應(yīng)用于目的地或來源�。目的地速率限制因其不分皂白的性質(zhì)而充斥著附帶損害,因此應(yīng)僅用作防止系統(tǒng)崩潰的最后行動�。對源進(jìn)行速率限制更為有效,因?yàn)樗腔谂c設(shè)置的訪問策略的偏差而完成的���。限制這些嘈雜的源���,甚至丟棄來自這些源的UDP分段數(shù)據(jù)包,都將大大減少影響。
2.正則表達(dá)式(Regex)過濾器
應(yīng)用流量簽名過濾器可以有效地抵抗反射放大攻擊����。這些攻擊具有可識別的重復(fù)結(jié)構(gòu),可以從中得出正則表達(dá)式���。
正則表達(dá)式過濾的一個缺點(diǎn)可能是性能�。DDoS防御位于網(wǎng)絡(luò)邊緣����,必須吸收企業(yè)互聯(lián)網(wǎng)容量的全部容量��。不管檢查是通過軟件還是硬件進(jìn)行的���,檢查每個數(shù)據(jù)包都可能使防御措施不堪重負(fù)�����。
3.端口阻塞
阻塞不需要的端口始終是良好的安全習(xí)慣����。挑戰(zhàn)在于保護(hù)合法流量和攻擊者流量共享的端口��。DNS的TCP或UDP端口53是常見攻擊所需端口的一個很好的例子。阻塞端口53與對環(huán)境中的每個人進(jìn)行DoS攻擊具有相同的效果����。另一方面,由于從互聯(lián)網(wǎng)上獲得SSDP不太可能是合法的用例����,因此阻止來自Internet的端口1900流量很有意義。
4.威脅情報(bào)
攻擊者不斷掃描互聯(lián)網(wǎng)�����,尋找可用于其DDoS活動的服務(wù)器�����。這些易受攻擊的服務(wù)器的身份可作為威脅情報(bào)公司的實(shí)時源使用����。
知道然后阻止易受攻擊的服務(wù)器的IP地址是緩解攻擊的有效,主動的方法��。此策略使用信譽(yù)作為阻止流量的決定因素�����,從而實(shí)現(xiàn)更精確的緩解。面臨的挑戰(zhàn)是要獲取數(shù)以千萬計(jì)的大量條目���,并使它們可行����。
例如�����,在2013年Spamhaus DNS放大攻擊之后���,當(dāng)時破紀(jì)錄的300Gbps����,開放DNS解析器項(xiàng)目開始灌輸良好的互聯(lián)網(wǎng)衛(wèi)生狀況���,并消滅了大約2千8百萬個暴露的DNS服務(wù)器,這些服務(wù)器對未經(jīng)身份驗(yàn)證的DNS查詢進(jìn)行了響應(yīng)�。鍵入“ ANY” ??。這些服務(wù)器的IP地址是那時已知的����,并且今天一直可用��。實(shí)際上��,防御吧的DDoS威脅情報(bào)地圖可識別約400萬臺仍易受攻擊的服務(wù)器�,并且這些服務(wù)器已用于當(dāng)今的DNS反射放大攻擊�����。
阻止每種類型的放大反射攻擊的方法
選擇有效的防御策略需要在有效性����,實(shí)施成本以及避免對合法用戶造成附帶損害之間找到適當(dāng)?shù)钠胶狻?/p>
表2:端口阻止和威脅情報(bào)用例
| 反射放大攻擊類型 | 攻擊源端口 | 推薦的緩解策略 |
|---|
| 比特流 | UDP 6881 | 阻止源端口 |
| 查根 | UDP 19 | 阻止源端口 |
| CLDAP | UDP 389 | 阻止源端口 |
| 域名解析 | UDP 53 | 威脅英特爾 |
| 卡德(P2P) | UDP 751 | 阻止源端口 |
| 記憶快取 | UDP 11211 | 阻止源端口或威脅情報(bào) |
| 微軟SQL | UDP 1434 | 阻止源端口 |
| 組播DNS | UDP 5353 | 阻止源端口 |
| 網(wǎng)絡(luò)BIOS | UDP 137 | 阻止源端口 |
| NTP | UDP 123 | 阻止MONLIST響應(yīng)或威脅情報(bào) |
| 端口映射(RPCbind) | UDP 111 | 阻止源端口 |
| 第四季度 | UDP 17 | 阻止源端口 |
| 雷神網(wǎng)絡(luò)協(xié)議 | UDP 27960 | 阻止源端口 |
| RIPv1 | UDP 520 | 阻止源端口 |
| SNMP協(xié)議 | UDP 161 | 阻止源端口或威脅情報(bào) |
| 固態(tài)硬盤 | UDP 1900 | 阻止源端口 |
| Steam協(xié)議 | UDP 27015 | 阻止源端口 |
| TFTP | 短暫的 | 威脅情報(bào) |
防御吧如何提供幫助
反射放大攻擊是持續(xù)增長的威脅。隨著行業(yè)利用新的應(yīng)用程序和服務(wù)進(jìn)行創(chuàng)新�,攻擊者會找到新的工具加以利用。作為防御者�����,了解攻擊策略并知道攻擊將來自何處可以使我們獲得DDoS彈性的優(yōu)勢���。
根據(jù)信譽(yù)應(yīng)用積極的端口阻止并將IP列入黑名單會帶來一定程度的風(fēng)險��。合法用戶可能會造成附帶損害�。例如�����,易受攻擊的服務(wù)器和潛在的合法用戶可以通過NAT服務(wù)共享IPv4地址。但是���,在DDoS攻擊期間���,必須刪除可疑流量,以防止目標(biāo)系統(tǒng)掉落�����。
為了最大程度地減少對合法用戶的附帶損害����,防御吧的Thunder TPS DDoS緩解產(chǎn)品采用了創(chuàng)新的五級自動緩解升級策略。通過此策略�,DDoS防御運(yùn)營商可以在適當(dāng)級別應(yīng)用預(yù)定義的緩解策略。例如����,在和平時期或我們稱為0級時����,不會強(qiáng)制實(shí)施緩解措施�����。當(dāng)檢測到攻擊時����,我們的系統(tǒng)會自動升級到第1級到第4級�����。在耗盡了其他侵入性較小的技術(shù)之后�����,可以將端口阻塞或威脅情報(bào)作為自動動態(tài)策略分配給任何級別���。
我們可操作的DDoS威脅情報(bào)可為您提供大量IP���,這些IP映射了攻擊者可用的大量武器。正如我們在防御吧的DDoS威脅情報(bào)圖中所看到的那樣���,許多易受攻擊的服務(wù)都有數(shù)百萬個單獨(dú)的IP ��。此DDoS威脅情報(bào)包含在我們的Thunder TPS產(chǎn)品中�,可支持多達(dá)9600萬個條目的最大可用類別列表。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
