作者:hacker发布时间:2022-10-13分类:破解邮箱浏览:126评论:3
一、系统的影响
某些依赖于用户数据报协议(User Datagram Protocol, UDP)的应用层协议已被识别为潜在的攻击载体。这些包括:
域名系统,
网络时间协议(NTP)
无连接轻量级目录访问协议(CLDAP),
字符生成协议(CharGEN)
简单服务发现协议,
BitTorrent,
简单网络管理协议版本2 (SNMPv2)
Kad,
端口映射/远程过程调用(RPC),
Quote of the Day(QOTD)
多播域名系统(mDNS),
网络基本输入输出系统(NetBIOS)
Quake 网络协议,
流协议,
路由信息协议版本1 (RIPv1)
轻量级目录访问协议(LDAP),
简单文件传输协议(TFTP)和
Memcached,
以及Web服务动态发现(WS-Discovery)。
二、概述
分布式反射拒绝服务(DRDoS)是分布式拒绝服务(DDoS)攻击的一种形式,它依赖于可公开访问的UDP服务器和带宽放大因子(BAFs),以UDP流量淹没受害者的系统。
三、描述
根据设计,UDP是一个不验证源互联网协议(IP)地址的无连接协议。除非应用层协议使用对策,如在互联网语音协议中会话发起,否则攻击者可以很容易地伪造IP包数据报(与包交换网络相关联的基本传输单元)以包括任意源IP地址。当许多UDP数据包的源IP地址被伪造成受害者IP地址时,目标服务器(或放大器)会响应受害者(而不是攻击者),从而产生反射拒绝服务(DoS)攻击。
UDP协议的某些命令会引发比初始请求大得多的响应。以前,攻击者受到直接发送到目标的数据包的线性数量的限制而进行DoS攻击;现在一个包可以产生10到100倍的原始带宽。这被称为放大攻击,当与大规模的反射式DoS攻击结合使用多个放大器并针对单一受害者时,DDoS攻击就可以相对容易地进行。
放大攻击的潜在效果可以通过BAF来衡量,BAF可以计算为放大器为响应请求而发送的UDP有效载荷字节数与请求的UDP有效载荷字节数的比较。
下面是已知协议及其相关的BAFs的列表。CISA感谢Christian Rossow提供了这些信息。更多关于BAFs的信息,请看Christian的博客以及相关的研究成果。
2015年3月,软件工程学会CERT协调中心发布了漏洞说明VU#550620,描述了mDNS在DRDoS攻击中的使用。攻击者可以通过发送比设备能处理的更多的信息来利用mDNS,从而导致DoS状态。
2015年7月,Akamai技术公司的Prolexic安全工程和研究团队(PLXsert)发布了一份威胁报告,称使用RIPv1的DRDoS攻击激增。恶意参与者通过特别设计的请求查询利用RIPv1的行为进行DDoS反射。
2015年8月,3级威胁研究实验室报告了一种使用portmap的新型DRDoS攻击。攻击者利用portmap服务的行为,通过欺骗请求向受害者的网络发送UDP流量。
2016年10月,Corero Network Security报告了一场新的DDoS扩增攻击,利用LDAP目录服务服务器攻击其客户。
2017年11月,Netlab 360报告称,CLDAP目前是第三大最常见的DRDoS攻击,仅次于DNS和NTP攻击。
2018年2月,SENKI报告了基于memcached的反射DDoS攻击(通过UDP/TCP端口11211)的增加,并达到了前所未有的放大系数。
在2019年9月,Akamai报告了利用WS-Discovery协议(通过TCP/UDP端口3702)的DDoS攻击。
四、影响
攻击者可以利用此警报中提供UDP协议的大型服务器的带宽和相对信任,向受害者提供不需要的流量并创建DDoS攻击。
五、解决方案
检测
检测DRDoS攻击并不容易,因为它们使用了提供UDP服务的大型可信服务器。这些可利用服务的网络运营商可以应用传统的DoS缓解技术。要检测DRDoS攻击,请注意对特定IP地址的非正常大响应,这可能表明攻击者正在使用该服务。
DRDoS攻击的受害者可以做一些事情来检测这种活动并作出反应:
1、检测和警报大UDP数据包到更高的命令端口。
2、检测和警告任何非状态UDP数据包。(下面是一个简单的Snort示例。这种方法需要针对每个带有白名单和已知服务的环境进行定制。
3、上游供应商应更新与下游客户的联系方式和方法,通过网络发送警报。
一般而言,互联网服务供应商(ISPs)的网络和服务器管理员应采用以下最佳做法,以避免成为放大器节点:
1、使用网络流检测欺骗包。(请参阅下面的缓解部分,了解在阻止欺骗流量之前验证该流量的信息。)
2、使用网络流或其他总结的网络数据来监视对有风险的UDP服务的异常数量的请求。
3、使用网络流量检测服务异常(例如,每包字节数和每秒数据包异常)。
缓解
以下步骤可以帮助减轻DRDoS攻击:
1、使用有状态UDP检查(如反射访问控制列表)来减少对边界防火墙或边界路由器上的关键服务的影响。[13]
2、使用边界网关协议(BGP)来创建一个远程触发的黑洞,最好与上游提供商或isp合作。[14]
3、维护主要上游供应商紧急联系人列表,以协调对攻击的响应。上游供应商应与下游客户协调开展缓解措施。
一般来说,ISP网络和服务器管理员应该使用以下最佳实践来避免成为放大器节点:
1、定期更新软件和配置以拒绝或限制滥用(例如,DNS响应率限制)。[15] [16] [17]
2、禁用和移除不需要的服务,或拒绝通过internet访问本地服务。
3、使用udp的协议,如:流量和路由设备上的服务质量(QoS)——以支持基于网络的速率——限制在互联网上提供的合法服务。
4、与客户供应商和制造商合作,确保安全配置和软件。
作为互联网服务供应商,为避免滥用互联网资源:
1、使用ingress过滤来阻止欺骗包(请参阅欺骗器项目[19]和IETF BCP 38和BCP 84指南)。
2、对UDP服务请求使用流量调整,以确保对internet资源的重复访问不会被滥用。
使用udp协议的软件很多,如qq等一些聊天软件等,用p2p协议的软件也会使用udp协议。
当我们发现服务器被攻击的时候不要过度惊慌失措,先查看一下网站服务器是不是被黑了,找出网站存在的黑链,然后做好网站的安全防御,开启IP禁PING,可以防止被扫描,关闭不需要的端口。这些是只能防简单的攻击,对于大流量DDOS攻击,必须要有足够的带宽和防火墙配合起来才能防御,你的防御能力大于攻击者的攻击流量那就防住了。不过单独硬防的成本挺高的,企业如果对成本控制有要求的话可以选择墨者.安全的集群防护,防御能力是很不错的,成本也比阿里云网易云这些大牌低。报价的主要是根据被攻击的流量大小和带宽来报价的
此DDoS攻击是基于反射的体积分布式拒绝服务(DDoS)攻击,其中攻击者利用开放式DNS解析器的功能,以便使用更大量的流量压倒目标 服务器 或网络,从而呈现服务器和它周围的基础设施无法进入。
所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异。当在许多请求中放大成本差异时,由此产生的流量可能会破坏网络基础设施。通过发送导致大量响应的小查询,恶意用户可以从更少的内容获得更多。由具有在每个机器人这个倍数乘以僵尸网络进行类似的请求,攻击者是从检测既混淆和收获大大提高了攻击流量的好处。
DNS放大攻击中的一个机器人可以被认为是一个恶意的少年打电话给餐馆并说“我将拥有一切,请给我回电话并告诉我整个订单。”当餐厅要求时一个回叫号码,给出的号码是目标受害者的电话号码。然后,目标接收来自餐馆的电话,其中包含许多他们未请求的信息。
由于每个机器人都要求使用欺骗性IP地址打开DNS解析器,该IP地址已更改为目标受害者的真实源IP地址,然后目标会从DNS解析器接收响应。为了创建大量流量,攻击者以尽可能从DNS解析器生成响应的方式构造请求。结果,目标接收到攻击者初始流量的放大,并且他们的网络被虚假流量阻塞,导致拒绝服务。
攻击者使用受损端点将带有欺骗性IP地址的UDP数据包发送到DNS recursor。数据包上的欺骗地址指向受害者的真实IP地址。
每个UDP数据包都向DNS解析器发出请求,通常会传递诸如“ANY”之类的参数,以便接收可能的最大响应。
在收到请求后,尝试通过响应提供帮助的DNS解析器会向欺骗的IP地址发送大量响应。
目标的IP地址接收响应,周围的网络基础设施因流量泛滥而变得 不堪重负 ,导致拒绝服务。
虽然一些请求不足以取消网络基础设施,但当此序列在多个请求和DNS解析器之间成倍增加时,目标接收的数据放大可能很大。探索有关反射攻击的更多技术细节。
对于运营网站或服务的个人或公司,缓解选项是有限的。这是因为个人的服务器虽然可能是目标,但却不会感受到体积攻击的主要影响。由于产生了大量流量,服务器周围的基础设施会产生影响。Internet服务提供商(ISP)或其他上游基础架构提供商可能无法处理传入流量而不会变得不堪重负。因此,ISP可能将所有流量黑洞到目标受害者的IP地址,保护自己并使目标站点脱机。除Cloudflare DDoS保护等非现场保护服务外,缓解策略主要是预防性互联网基础设施解决方案。
DNS放大攻击的一个重要组成部分是访问开放式DNS解析器。通过将配置不当的DNS解析器暴露给Internet,攻击者需要做的就是利用DNS解析器来发现它。理想情况下,DNS解析器应仅向源自受信任域的设备提供其服务。在基于反射的攻击的情况下,开放的DNS解析器将响应来自Internet上任何地方的查询,从而允许利用漏洞。限制DNS解析器以使其仅响应来自可信源的查询使得服务器成为任何类型的放大攻击的不良工具。
由于攻击者僵尸网络发送的UDP请求必须具有欺骗受害者IP地址的源IP地址,因此降低基于UDP的放大攻击有效性的关键组件是Internet服务提供商(ISP)拒绝任何内部流量欺骗的IP地址。如果从网络内部发送一个数据包,其源地址使其看起来像是在网络外部发起的,那么它可能是一个欺骗性数据包,可以被丢弃。Cloudflare强烈建议所有提供商实施入口过滤,有时会联系那些 不知不觉 地参与DDoS攻击并帮助他们实现漏洞的ISP。
已有3位网友发表了看法:
访客 评论于 2022-10-13 07:43:28 回复
合作。[14] 3、维护主要上游供应商紧急联系人列表,以协调对攻击的响应。上游供应商应与下游客户协调开展缓解措施。 一般来说,ISP网络和服务器管理员应该使用以下最佳实践来避免成为放大器节点: 1、定期更新软件和配置以拒绝或限制滥用(例如,DNS响应率限制)。[15] [16] [17] 2
访客 评论于 2022-10-13 05:05:57 回复
厅要求时一个回叫号码,给出的号码是目标受害者的电话号码。然后,目标接收来自餐馆的电话,其中包含许多他们未请求的信息。 由于每个机器人都要求使用欺骗性IP地址打开DNS解析器,该IP地址已更改为目标受害者的真实源IP地址,然后目标会从DNS解析器接收响应。为了创建大量流
访客 评论于 2022-10-13 15:01:51 回复
结的网络数据来监视对有风险的UDP服务的异常数量的请求。 3、使用网络流量检测服务异常(例如,每包字节数和每秒数据包异常)。 缓解 以下步骤可以帮助减轻DRDoS攻击: 1、使用有状态UDP检查(如反射访问控制列表)来减少对边界防火墙或边界路由器上的关键服务的影响