怎样写网络小说,风凌天下,好看的言情小说

DDoS攻擊愈演愈烈，反射攻擊舉足輕重

2021-09-05 14:07:17 【大中小】

0x00概述

全球DDoS網(wǎng)絡(luò)攻擊次數(shù)不斷增長(zhǎng)，反射攻擊次數(shù)也是逐年上升，筆者在之前撰寫的文章《史上最大DDoS攻擊"之爭(zhēng)"》中提到的幾次”最大”攻擊，都是以CLDAP為主的反射攻擊。

除了CLDAP反射攻擊外，SSDP、NTP等反射攻擊也是歷年來最為流行的攻擊類型，最近幾年不斷有新的攻擊類型被發(fā)現(xiàn)，行業(yè)內(nèi)監(jiān)測(cè)到的反射類型有50多種，其中智云盾團(tuán)隊(duì)針對(duì)其中12種做了首次技術(shù)分析和攻擊預(yù)警。

0x01反射攻擊態(tài)勢(shì)

DDoS攻擊峰值和攻擊頻率不斷增高，反射攻擊的占比從2017年的21%，增長(zhǎng)到2021年接近50%，下圖展示了DDoS攻擊次數(shù)與反射攻擊增長(zhǎng)的趨勢(shì)。

其中CLDAP是近年來較火的攻擊類型，業(yè)內(nèi)披露的多次T級(jí)以上的超大攻擊，都有CLDAP攻擊的參與，CLDAP協(xié)議廣泛應(yīng)用于Windows服務(wù)器的活動(dòng)目錄服務(wù)（AD），反射放大倍數(shù)超過70倍。

0x02反射攻擊原理

原理如下圖所示：

圖中攻擊者Attacker偽造了請(qǐng)求包Pva發(fā)送到反射服務(wù)器Amplifiers（簡(jiǎn)稱A），但Pva的源IP是受害者Victim（簡(jiǎn)稱V），所以A響應(yīng)的時(shí)候發(fā)送Pav給到V，Pav往往是Pva的好幾倍，甚至是成千上萬倍。

反射攻擊一方面隱藏了黑客IP，同時(shí)還有一個(gè)重要特征是放大攻擊流量。

1）隱藏黑客IP

黑客實(shí)施攻擊時(shí)，不是直接攻擊受害者IP，而是偽造受害者IP的大量請(qǐng)求發(fā)給相應(yīng)的開放服務(wù)，相應(yīng)服務(wù)將大量的惡意流量發(fā)送給受害者，這樣就產(chǎn)生的隱藏了發(fā)送者真實(shí)身份的效果。

有一種情況是國(guó)內(nèi)三大運(yùn)營(yíng)商的邊緣網(wǎng)絡(luò)或路由器會(huì)檢查源IP，對(duì)不是同一網(wǎng)絡(luò)的IP出向包進(jìn)行丟棄。

針對(duì)這種情況，黑客會(huì)在使用相應(yīng)手段儲(chǔ)備攻擊資源，下圖展示了BillGates木馬收集的過程。

上圖中序號(hào)19、20兩個(gè)包中紅色打碼的是BillGates木馬用真實(shí)IP收發(fā)心跳包，序號(hào)21和22是木馬偽造不同的IP段發(fā)包，payload中記錄了真實(shí)IP。木馬收到請(qǐng)求包后根據(jù)payload是否包含真實(shí)IP來確定哪些IP段可以用于偽造。

BiillGates木馬通過收發(fā)心跳包來確定哪些IP段是可以將偽造的請(qǐng)求順利通過邊緣網(wǎng)絡(luò)或路由器發(fā)到主控端。

2）放大攻擊流量

反射攻擊流行的另一個(gè)重要原因是反射服務(wù)帶有放大效果，這些服務(wù)使用的協(xié)議通常不對(duì)來源請(qǐng)求進(jìn)行安全性校驗(yàn)，直接響應(yīng)數(shù)倍乃至數(shù)萬倍于請(qǐng)求的數(shù)據(jù)包，例如我們熟知的Memcache反射攻擊，最大的放大倍數(shù)可達(dá)十幾萬倍。

很多知名的服務(wù)都可以用作反射攻擊，如：NTP、SNMP，行業(yè)內(nèi)監(jiān)測(cè)到的50多種攻擊類型中就有21種利用了物聯(lián)網(wǎng)協(xié)議，7種游戲協(xié)議，16種網(wǎng)絡(luò)服務(wù)以及6種私有協(xié)議，這些反射攻擊的放大倍數(shù)少則幾倍，多則高達(dá)十幾萬倍，這些反射攻擊的放大倍數(shù)少則幾倍，多則高達(dá)十幾萬倍，甚至payload為空的的情況下，也能響應(yīng)超量數(shù)據(jù)包。

0x03攻防對(duì)抗

我們?cè)陂L(zhǎng)期與DDoS黑客”打交道”中，提煉出一套高效準(zhǔn)確的研究識(shí)別方法，該方法包括兩個(gè)方面：

1）監(jiān)測(cè)防御系統(tǒng)

智云盾在全球部署了大量節(jié)點(diǎn)，包含一些蜜罐節(jié)點(diǎn)，可以有機(jī)會(huì)觀測(cè)到反射攻擊的全過程。

當(dāng)黑客偽造的反射請(qǐng)求對(duì)監(jiān)控系統(tǒng)進(jìn)行攻擊時(shí)，監(jiān)測(cè)節(jié)點(diǎn)實(shí)時(shí)上報(bào)攻擊事件到威脅中心，向全網(wǎng)節(jié)點(diǎn)下發(fā)采集被攻擊IP地址的指令，深度包分析程序根據(jù)IP對(duì)應(yīng)關(guān)系提取黑客使用新型反射攻擊的請(qǐng)求指令。

使用這種方法，我們識(shí)別了多個(gè)新型反射攻擊類型，如CoAP、PMDP等反射攻擊，但是由于資源有限，仍然有許多新型類型難以識(shí)別。于是我們提出了基于協(xié)議模板fuzz的反射源攻擊手法自動(dòng)化探測(cè)方法。

2）基于協(xié)議模板fuzz的反射源攻擊手法自動(dòng)化探測(cè)方法

使用RFC協(xié)議庫(kù)，構(gòu)建協(xié)議模板庫(kù)，通過fuzz算法生成大量的反射請(qǐng)求數(shù)據(jù)包。對(duì)于捕獲到大量響應(yīng)包的反射攻擊，通過協(xié)議模板庫(kù)，fuzz識(shí)別協(xié)議類型，精準(zhǔn)生成協(xié)議類型。

識(shí)別協(xié)議時(shí)：

如果協(xié)議載荷為文本——可打印的ASCII字符，選擇簡(jiǎn)單協(xié)議分類的模版庫(kù)進(jìn)行比對(duì)，采用文本相似性算法
如果協(xié)議載荷為復(fù)雜協(xié)議——二進(jìn)制數(shù)據(jù)和偶爾包含的人可讀的ASCII字符串，選擇復(fù)雜協(xié)議的模版庫(kù)進(jìn)行比對(duì)，采用二進(jìn)制結(jié)構(gòu)相似性算法。

使用基于生成generation-based的fuzz技術(shù)，對(duì)生成的協(xié)議進(jìn)行文本建模，基于模型生成請(qǐng)求數(shù)據(jù)包。這樣能夠高效的獲取新型反射攻擊的請(qǐng)求指令。

3）研究成果

自2018年首次發(fā)現(xiàn)IPMI反射攻擊以來，我們累計(jì)挖掘出12種新型反射放大攻擊，同時(shí)也對(duì)業(yè)內(nèi)流行的TCP反射攻擊進(jìn)行過深入研究，下表展示了我們近年來在反射攻擊領(lǐng)域的研究成果。

序號(hào)	名稱	特征（端口）	傳統(tǒng)倍數(shù)	科學(xué)倍數(shù)	發(fā)現(xiàn)時(shí)間
1	IMPI	623	1.1	1.07	2018.02
2	A2S_INFO	2303	7.36	2.7	2018.11
3	WS-Discovery	3702	500	414	2019.02
4	Ubiquiti	10001	11.7	6.88	2020.12
5	CoAP	5683	15.74	11.76	2019.04
6	ARMS	3283	22.3	12.76	2020.02
7	黑客自建數(shù)萬倍反射源	隨機(jī)大端口	53087.5	39746.4	2020.04
8	PMDP	32410,32414	12.9	3.77	2021.01
9	DTLS	443	28	26.5	2021.02
10	WdbRPC	17185	10.23	7.85	2018.05
11	BACnet	47808	2.96	2.5	2015.03
12	SmartZone	9001	無窮大	65.8	2021.07

0x04反射攻擊匯總

黑客在尋找新的攻擊方式上不再拘泥于傳統(tǒng)公共服務(wù)，而是對(duì)暴露在公網(wǎng)，并且具備一定規(guī)模的UDP服務(wù)都嘗試?yán)米鳛榉瓷湓�。我們結(jié)合了自己的研究成果以及查閱多方資料，對(duì)反射攻擊類型進(jìn)行了總結(jié)，結(jié)果如下表：

序號(hào)	名稱	特征(端口)	傳統(tǒng)倍數(shù)	科學(xué)倍數(shù)	發(fā)現(xiàn)時(shí)間	備注
1	ADDP	2362	7.14	1.47	2020.06	設(shè)備發(fā)現(xiàn)協(xié)議
2	A2S_INFO	2303	7.36	2.7	2018.12	游戲協(xié)議
3	ARMS	3283	22.3	12.76	2018.02
4	BACnet	47808	2.96	2.5	2015.03	智能樓宇協(xié)議
5	BitTorrent	6881-6889	120	43	2015.08	比特流協(xié)議
6	Chargen	19	358.8	270.45	1996	字符發(fā)生器協(xié)議
7	Chameleon	20811	40	32	2021.02	ChameleonVPN服務(wù)
8	CMFAB	1604				一款應(yīng)用
9	CLDAP	389,636	70	53	2016.10	輕量目錄訪問協(xié)議
10	CBEV	2302,2303			2019.04	Combat Evolve游戲
11	CoAP	5683	15.74	11.76	2019.04	約束應(yīng)用協(xié)議
12	DCCP				2021.04	傳輸層協(xié)議，用于數(shù)據(jù)報(bào)擁塞控制
13	DHDP	37810	11.3	11.76	2019.04	視頻監(jiān)控服務(wù)
14	DNS	53	54	46	2015.04
15	DTLS	443	28	26.5	2020.12	數(shù)據(jù)報(bào)安全傳輸協(xié)議
16	Gameover	Any	45.4		2010.04	一款游戲服務(wù)
17	IPMI	623	1.1	1.07	2018.03	IMPI管理服務(wù)
18	IKEv1	500	4.6	3.79	2016.07	VPN服務(wù)
19	Jenkins	33848	3	2.45	2020.02
20	KAD	4672,6429	16.3		2012	Kademlia
21	MDNS	5353	10	6.2	2015.03	局域網(wǎng)內(nèi)組播DNS
22	Memcached	11211	10000	100000	2017.06
23	MCSQLR	1434	25	17.4	2015.07	Microsoft SQL Server
24	NATPMP	5351			2014.07	端口映射協(xié)議
25	NetBIOS	136,137,139	3.8		2015.02	網(wǎng)絡(luò)輸入輸出協(xié)議
26	NTP	123	556.9	437.5	2015.04	時(shí)間同步協(xié)議
27	OpenVPN	1194	40	60	2019.09
28	PMDP	32410,32414	12.9	3.77	2021.01	應(yīng)用于流媒體服務(wù)中的設(shè)備發(fā)現(xiàn)協(xié)議
29	PortMap	111	5.54	7.14	2018.09	端口映射協(xié)議
30	PPTP	1723			2002.08	PPTPVPN服務(wù)
31	QOTD	17	140.3		1996
32	Quake3	26000	63.9	63.9	2012.05
33	RDP	3389	15.29	85.9	2020.12	Windows RDP服務(wù)器
34	RIPv1	520	6.29	8.4	2015.05	路由協(xié)議
35	Sality	9674	17	37.3	2002.01
36	Sentinel	3588,5093			2015.02
37	SIP	5060			2014.08	會(huì)話初始協(xié)議
38	SmartZone	9001	無窮大	65.8	2021.07	網(wǎng)絡(luò)控制設(shè)備
39	SNMP	161	6.3	4.67	2015.04	簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議
40	SRVLOC	427				服務(wù)定位協(xié)議
41	SSDP	1900	4.78	30.8	2016.07	設(shè)備發(fā)現(xiàn)協(xié)議
42	STUN	3478	3.19	2.3	2017.06	UDP穿透NAT
43	TeamSpeak2	8767	3.75	2.1	2015.08	語音通信服務(wù)器版本1
44	TeamSpeak3	9987	4.62	2.6	2015.08	語音通信服務(wù)器版本2
45	Tenfold	658	37
46	TFTP	隨機(jī)大端口	55.8	41.57	2015.03	簡(jiǎn)單文件傳輸協(xié)議
47	Ubiquiti	10001	11.7	6.88	2020.12	AP發(fā)現(xiàn)服務(wù)
48	VSE	27015				一款游戲
49	WSDP	3702	500	414	2019.02	設(shè)備發(fā)現(xiàn)協(xié)議
50	WdbRPC	17185	10.23	7.85	2018.05	遠(yuǎn)程調(diào)試服務(wù)
51	XDMCP	177			2005.03	遠(yuǎn)程管理服務(wù)

注：表格科學(xué)倍數(shù)數(shù)據(jù)為安全專家計(jì)算得出，部分?jǐn)?shù)據(jù)結(jié)合業(yè)內(nèi)披露的信息，未查詢到相關(guān)信息的部分留白

0x05防御措施

反射攻擊都是互聯(lián)網(wǎng)上開放服務(wù)參與的，作為這些開放服務(wù)的運(yùn)營(yíng)者應(yīng)遵循以下防御措施避免成為DDoS反射攻擊的幫兇。

能使用TCP的服務(wù)，盡量不要啟用UDP服務(wù)
必須使用UDP服務(wù)時(shí)，應(yīng)啟用授權(quán)認(rèn)證
使用UDP服務(wù)無法啟用授權(quán)認(rèn)證時(shí)，應(yīng)確保響應(yīng)與請(qǐng)求的倍數(shù)不要大于1
增強(qiáng)自身應(yīng)對(duì)惡意請(qǐng)求的能力，及時(shí)封禁惡意IP



【大中小】【打印】【關(guān)閉】【返回頂部】
分享到:
上一篇：Fortinet未修補(bǔ)的漏洞會(huì)導(dǎo)致防火..	下一篇：五種網(wǎng)絡(luò)數(shù)據(jù)包類型和協(xié)議被DDoS..

国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成人综合亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

行業(yè)動(dòng)態(tài)

聯(lián)系我們