0x00概述

全球DDoS網絡攻擊次數不斷增長，反射攻擊次數也是逐年上升，筆者在之前撰寫的文章《史上最大DDoS攻擊"之爭"》中提到的幾次”最大”攻擊，都是以CLDAP為主的反射攻擊。
除了CLDAP反射攻擊外，SSDP、NTP等反射攻擊也是歷年來最為流行的攻擊類型，最近幾年不斷有新的攻擊類型被發現，行業內監測到的反射類型有50多種，其中智云盾團隊針對其中12種做了首次技術分析和攻擊預警。

0x01反射攻擊態勢

DDoS攻擊峰值和攻擊頻率不斷增高，反射攻擊的占比從2017年的21%，增長到2021年接近50%，下圖展示了DDoS攻擊次數與反射攻擊增長的趨勢。

圖1 DDoS攻擊與反射攻擊趨勢（數據來源：百度安全年報）

統計2021上半年DDoS攻擊類型占比，udp反射攻擊擁有高達38.85%的占比，相較于2020年同期上升明顯。

圖2 2021上半年攻擊類型占比

統計反射攻擊類型TOP6的數據，SSDP、NTP、SNMP、Memcache、DNS和CLDAP是最為活躍的反射攻擊。

圖3 2021上半年反射型攻擊TOP6

其中CLDAP是近年來較火的攻擊類型，業內披露的多次T級以上的超大攻擊，都有CLDAP攻擊的參與，CLDAP協議廣泛應用于Windows服務器的活動目錄服務（AD），反射放大倍數超過70倍。

0x02反射攻擊原理

原理如下圖所示：

圖4 反射攻擊原理示意圖

圖中攻擊者Attacker偽造了請求包Pva發送到反射服務器Amplifiers（簡稱A），但Pva的源IP是受害者Victim（簡稱V），所以A響應的時候發送Pav給到V，Pav往往是Pva的好幾倍，甚至是成千上萬倍。
反射攻擊一方面隱藏了黑客IP，同時還有一個重要特征是放大攻擊流量。
1）隱藏黑客IP
黑客實施攻擊時，不是直接攻擊受害者IP，而是偽造受害者IP的大量請求發給相應的開放服務，相應服務將大量的惡意流量發送給受害者，這樣就產生的隱藏了發送者真實身份的效果。
有一種情況是國內三大運營商的邊緣網絡或路由器會檢查源IP，對不是同一網絡的IP出向包進行丟棄。
針對這種情況，黑客會在使用相應手段儲備攻擊資源，下圖展示了BillGates木馬收集的過程。

圖5 BillGates木馬

上圖中序號19、20兩個包中紅色打碼的是BillGates木馬用真實IP收發心跳包，序號21和22是木馬偽造不同的IP段發包，payload中記錄了真實IP。木馬收到請求包后根據payload是否包含真實IP來確定哪些IP段可以用于偽造。
BiillGates木馬通過收發心跳包來確定哪些IP段是可以將偽造的請求順利通過邊緣網絡或路由器發到主控端。

2）放大攻擊流量
反射攻擊流行的另一個重要原因是反射服務帶有放大效果，這些服務使用的協議通常不對來源請求進行安全性校驗，直接響應數倍乃至數萬倍于請求的數據包，例如我們熟知的Memcache反射攻擊，最大的放大倍數可達十幾萬倍。
很多知名的服務都可以用作反射攻擊，如：NTP、SNMP，行業內監測到的50多種攻擊類型中就有21種利用了物聯網協議，7種游戲協議，16種網絡服務以及6種私有協議，這些反射攻擊的放大倍數少則幾倍，多則高達十幾萬倍，這些反射攻擊的放大倍數少則幾倍，多則高達十幾萬倍，甚至payload為空的的情況下，也能響應超量數據包。

0x03攻防對抗

我們在長期與DDoS黑客”打交道”中，提煉出一套高效準確的研究識別方法，該方法包括兩個方面：

1）監測防御系統
智云盾在全球部署了大量節點，包含一些蜜罐節點，可以有機會觀測到反射攻擊的全過程。

圖6 新型反射攻擊發現

當黑客偽造的反射請求對監控系統進行攻擊時，監測節點實時上報攻擊事件到威脅中心，向全網節點下發采集被攻擊IP地址的指令，深度包分析程序根據IP對應關系提取黑客使用新型反射攻擊的請求指令。
使用這種方法，我們識別了多個新型反射攻擊類型，如CoAP、PMDP等反射攻擊，但是由于資源有限，仍然有許多新型類型難以識別。于是我們提出了基于協議模板fuzz的反射源攻擊手法自動化探測方法。

2）基于協議模板fuzz的反射源攻擊手法自動化探測方法
使用RFC協議庫，構建協議模板庫，通過fuzz算法生成大量的反射請求數據包。對于捕獲到大量響應包的反射攻擊，通過協議模板庫，fuzz識別協議類型，精準生成協議類型。

圖7生成反射請求包

識別協議時：

• 如果協議載荷為文本——可打印的ASCII字符，選擇簡單協議分類的模版庫進行比對，采用文本相似性算法
  如果協議載荷為復雜協議——二進制數據和偶爾包含的人可讀的ASCII字符串，選擇復雜協議的模版庫進行比對，采用二進制結構相似性算法。

使用基于生成generation-based的fuzz技術，對生成的協議進行文本建模，基于模型生成請求數據包。這樣能夠高效的獲取新型反射攻擊的請求指令。

3）研究成果
自2018年首次發現IPMI反射攻擊以來，我們累計挖掘出12種新型反射放大攻擊，同時也對業內流行的TCP反射攻擊進行過深入研究，下表展示了我們近年來在反射攻擊領域的研究成果。

0x04反射攻擊匯總

黑客在尋找新的攻擊方式上不再拘泥于傳統公共服務，而是對暴露在公網，并且具備一定規模的UDP服務都嘗試利用作為反射源。我們結合了自己的研究成果以及查閱多方資料，對反射攻擊類型進行了總結，結果如下表：






注：表格科學倍數數據為安全專家計算得出，部分數據結合業內披露的信息，未查詢到相關信息的部分留白

0x05防御措施

反射攻擊都是互聯網上開放服務參與的，作為這些開放服務的運營者應遵循以下防御措施避免成為DDoS反射攻擊的幫兇。
能使用TCP的服務，盡量不要啟用UDP服務
必須使用UDP服務時，應啟用授權認證
使用UDP服務無法啟用授權認證時，應確保響應與請求的倍數不要大于1
增強自身應對惡意請求的能力，及時封禁惡意IP

點擊進入了解更多技術信息~~

總結

以上是生活随笔為你收集整理的DDoS攻击愈演愈烈，反射攻击举足轻重的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。