什么是放大反射DDoS攻击?
放大反射攻击是一种DDoS攻击,它利用UDP的无连接特性和欺骗性请求来错误配置Internet上的开放服务器。当涉及到攻击的大小时,放大反射攻击会获得奖励。
攻击将大量带有欺骗受害者IP地址的小型请求发送到可访问的服务器。服务器对不知情的受害者进行大量放大的答复。服务器可以执行此操作,因为它们配置了攻击者寻求帮助其进行攻击的能力的服务。
下面来自nat0的视频简要介绍了这种DDoS攻击。本文提供了基于放大的反射式UDP攻击的更详细说明。
这些攻击的最常见类型可以使用数百万个公开的DNS,NTP,SSDP,SNMP和其他基于UDP的服务。这些攻击导致了创纪录的巨大体积攻击,例如基于1.3Tbps的基于Memcached的Github攻击,并占了DDoS攻击的大部分。下图1中的图表显示了2018年7月一周内近73%的DDoS攻击是amp_flood。在这里,您将找到当前的攻击协议频率图。
攻击者之所以喜欢这种策略,是因为武器持久可用,很难归因于协调器,并且只需很少的努力就可以使用少量的机器人或单个功能强大的服务器进行大规模的体积攻击。
放大反射DDoS攻击中使用的武器
之前,被利用的工具被称为“配置错误的开放服务器”。更好的描述是“管理卫生差”。对于已部署服务器但没有适当访问控制的所有者,服务器可能实现特定目的,或者可能被遗忘且不受管理,或者由于无明显原因无意中暴露给了服务器。
例如,大约有300万SSDP服务器重复用于DDoS攻击,其放大倍数大于30倍。所有者在向互联网公开UPnP功能时到底在想什么?但这就是我们生活的肮脏网络世界。
Memcached服务器在UDP放大器列表中尤为引人注目,这是因为它具有巨大的放大系数-可能是欺骗请求的51,000倍。在Github攻击时,大约有30万个暴露的Memcached服务器。
下表提供了可利用的UDP服务及其放大系数。可以在国家网络安全和通信集成中心的警报(TA14-017A):基于UDP的放大攻击中找到此表中的大多数数据 。
表1:可利用的UDP服务和放大因子
| 类型 | 放大系数 |
|---|
| 记忆快取 | 10,000至51,000 |
| NTP | 556.9 |
| 查根 | 358.8 |
| 第四季度 | 140.3 |
| RIPv1 | 131.24 |
| CLDAP | 56至70 |
| LDAP | 46至70 |
| 域名解析 | 28至54 |
| 雷神网络协议 | 63.9 |
| TFTP | 60 |
| 固态硬盘 | 30.8 |
| 微软SQL | 25 |
| 卡德(P2P) | 16.3 |
| 端口映射(RPCbind) | 7至28 |
| SNMP协议 | 6.3 |
| Steam协议 | 5.5 |
| 网络BIOS | 3.8 |
| 比特流 | 3.8 |
| 组播DNS(mDNS) | 2至10 |
Memcached服务器继续被利用
自早期以来,互联网已得到改善。业主正在将服务器数量减少到约4万台。但是,那些Memcached服务器继续被利用。奇虎360网络安全研究实验室的以下图2提供了有关全球DDoS威胁状况的宝贵见解。在从5月到2018年7月的这段时间内,memcache已经表明它仍然是DDoS攻击的重要部分。
防御反射DDoS攻击的防御措施
考虑到体积攻击的疯狂性质,检测反射放大攻击很容易。但是,缓解攻击并非易事,因为响应来自遵循RFC结构并使用某些提供用户依赖功能的服务的合法来源,例如DNS和NTP。
挑战在于通过外科手术将合法用户的工作负载与反射的流量区分开。在许多情况下,受到攻击的服务会因响应该服务响应缓慢而反复重试,因此会看到其他合法用户流量。这些重试可以错误地视为DoS行为。
缓解放大的反射式DDoS攻击的四种策略
1.速率限制
速率限制是DDoS缓解策略的常规类别。该限制可以应用于目的地或来源。目的地速率限制因其不分皂白的性质而充斥着附带损害,因此应仅用作防止系统崩溃的最后行动。对源进行速率限制更为有效,因为它是基于与设置的访问策略的偏差而完成的。限制这些嘈杂的源,甚至丢弃来自这些源的UDP分段数据包,都将大大减少影响。
2.正则表达式(Regex)过滤器
应用流量签名过滤器可以有效地抵抗反射放大攻击。这些攻击具有可识别的重复结构,可以从中得出正则表达式。
正则表达式过滤的一个缺点可能是性能。DDoS防御位于网络边缘,必须吸收企业互联网容量的全部容量。不管检查是通过软件还是硬件进行的,检查每个数据包都可能使防御措施不堪重负。
3.端口阻塞
阻塞不需要的端口始终是良好的安全习惯。挑战在于保护合法流量和攻击者流量共享的端口。DNS的TCP或UDP端口53是常见攻击所需端口的一个很好的例子。阻塞端口53与对环境中的每个人进行DoS攻击具有相同的效果。另一方面,由于从互联网上获得SSDP不太可能是合法的用例,因此阻止来自Internet的端口1900流量很有意义。
4.威胁情报
攻击者不断扫描互联网,寻找可用于其DDoS活动的服务器。这些易受攻击的服务器的身份可作为威胁情报公司的实时源使用。
知道然后阻止易受攻击的服务器的IP地址是缓解攻击的有效,主动的方法。此策略使用信誉作为阻止流量的决定因素,从而实现更精确的缓解。面临的挑战是要获取数以千万计的大量条目,并使它们可行。
例如,在2013年Spamhaus DNS放大攻击之后,当时破纪录的300Gbps,开放DNS解析器项目开始灌输良好的互联网卫生状况,并消灭了大约2千8百万个暴露的DNS服务器,这些服务器对未经身份验证的DNS查询进行了响应。键入“ ANY” ??。这些服务器的IP地址是那时已知的,并且今天一直可用。实际上,防御吧的DDoS威胁情报地图可识别约400万台仍易受攻击的服务器,并且这些服务器已用于当今的DNS反射放大攻击。
阻止每种类型的放大反射攻击的方法
选择有效的防御策略需要在有效性,实施成本以及避免对合法用户造成附带损害之间找到适当的平衡。
表2:端口阻止和威胁情报用例
| 反射放大攻击类型 | 攻击源端口 | 推荐的缓解策略 |
|---|
| 比特流 | UDP 6881 | 阻止源端口 |
| 查根 | UDP 19 | 阻止源端口 |
| CLDAP | UDP 389 | 阻止源端口 |
| 域名解析 | UDP 53 | 威胁英特尔 |
| 卡德(P2P) | UDP 751 | 阻止源端口 |
| 记忆快取 | UDP 11211 | 阻止源端口或威胁情报 |
| 微软SQL | UDP 1434 | 阻止源端口 |
| 组播DNS | UDP 5353 | 阻止源端口 |
| 网络BIOS | UDP 137 | 阻止源端口 |
| NTP | UDP 123 | 阻止MONLIST响应或威胁情报 |
| 端口映射(RPCbind) | UDP 111 | 阻止源端口 |
| 第四季度 | UDP 17 | 阻止源端口 |
| 雷神网络协议 | UDP 27960 | 阻止源端口 |
| RIPv1 | UDP 520 | 阻止源端口 |
| SNMP协议 | UDP 161 | 阻止源端口或威胁情报 |
| 固态硬盘 | UDP 1900 | 阻止源端口 |
| Steam协议 | UDP 27015 | 阻止源端口 |
| TFTP | 短暂的 | 威胁情报 |
防御吧如何提供帮助
反射放大攻击是持续增长的威胁。随着行业利用新的应用程序和服务进行创新,攻击者会找到新的工具加以利用。作为防御者,了解攻击策略并知道攻击将来自何处可以使我们获得DDoS弹性的优势。
根据信誉应用积极的端口阻止并将IP列入黑名单会带来一定程度的风险。合法用户可能会造成附带损害。例如,易受攻击的服务器和潜在的合法用户可以通过NAT服务共享IPv4地址。但是,在DDoS攻击期间,必须删除可疑流量,以防止目标系统掉落。
为了最大程度地减少对合法用户的附带损害,防御吧的Thunder TPS DDoS缓解产品采用了创新的五级自动缓解升级策略。通过此策略,DDoS防御运营商可以在适当级别应用预定义的缓解策略。例如,在和平时期或我们称为0级时,不会强制实施缓解措施。当检测到攻击时,我们的系统会自动升级到第1级到第4级。在耗尽了其他侵入性较小的技术之后,可以将端口阻塞或威胁情报作为自动动态策略分配给任何级别。
我们可操作的DDoS威胁情报可为您提供大量IP,这些IP映射了攻击者可用的大量武器。正如我们在防御吧的DDoS威胁情报图中所看到的那样,许多易受攻击的服务都有数百万个单独的IP 。此DDoS威胁情报包含在我们的Thunder TPS产品中,可支持多达9600万个条目的最大可用类别列表。
经营性网站备案信息
可信网站信用评价
网络警察提醒您
诚信网站
中国互联网举报中心
网络举报APP下载
