DDoS攻击愈演愈烈,反射攻击举足轻重
0x00概述
全球DDoS網絡攻擊次數不斷增長,反射攻擊次數也是逐年上升,筆者在之前撰寫的文章《史上最大DDoS攻擊"之爭"》中提到的幾次”最大”攻擊,都是以CLDAP為主的反射攻擊。
除了CLDAP反射攻擊外,SSDP、NTP等反射攻擊也是歷年來最為流行的攻擊類型,最近幾年不斷有新的攻擊類型被發現,行業內監測到的反射類型有50多種,其中智云盾團隊針對其中12種做了首次技術分析和攻擊預警。
0x01反射攻擊態勢
DDoS攻擊峰值和攻擊頻率不斷增高,反射攻擊的占比從2017年的21%,增長到2021年接近50%,下圖展示了DDoS攻擊次數與反射攻擊增長的趨勢。
圖1 DDoS攻擊與反射攻擊趨勢(數據來源:百度安全年報)
統計2021上半年DDoS攻擊類型占比,udp反射攻擊擁有高達38.85%的占比,相較于2020年同期上升明顯。
圖2 2021上半年攻擊類型占比
統計反射攻擊類型TOP6的數據,SSDP、NTP、SNMP、Memcache、DNS和CLDAP是最為活躍的反射攻擊。
圖3 2021上半年反射型攻擊TOP6
其中CLDAP是近年來較火的攻擊類型,業內披露的多次T級以上的超大攻擊,都有CLDAP攻擊的參與,CLDAP協議廣泛應用于Windows服務器的活動目錄服務(AD),反射放大倍數超過70倍。
0x02反射攻擊原理
原理如下圖所示:
圖4 反射攻擊原理示意圖
圖中攻擊者Attacker偽造了請求包Pva發送到反射服務器Amplifiers(簡稱A),但Pva的源IP是受害者Victim(簡稱V),所以A響應的時候發送Pav給到V,Pav往往是Pva的好幾倍,甚至是成千上萬倍。
反射攻擊一方面隱藏了黑客IP,同時還有一個重要特征是放大攻擊流量。
1)隱藏黑客IP
黑客實施攻擊時,不是直接攻擊受害者IP,而是偽造受害者IP的大量請求發給相應的開放服務,相應服務將大量的惡意流量發送給受害者,這樣就產生的隱藏了發送者真實身份的效果。
有一種情況是國內三大運營商的邊緣網絡或路由器會檢查源IP,對不是同一網絡的IP出向包進行丟棄。
針對這種情況,黑客會在使用相應手段儲備攻擊資源,下圖展示了BillGates木馬收集的過程。
圖5 BillGates木馬
上圖中序號19、20兩個包中紅色打碼的是BillGates木馬用真實IP收發心跳包,序號21和22是木馬偽造不同的IP段發包,payload中記錄了真實IP。木馬收到請求包后根據payload是否包含真實IP來確定哪些IP段可以用于偽造。
BiillGates木馬通過收發心跳包來確定哪些IP段是可以將偽造的請求順利通過邊緣網絡或路由器發到主控端。
2)放大攻擊流量
反射攻擊流行的另一個重要原因是反射服務帶有放大效果,這些服務使用的協議通常不對來源請求進行安全性校驗,直接響應數倍乃至數萬倍于請求的數據包,例如我們熟知的Memcache反射攻擊,最大的放大倍數可達十幾萬倍。
很多知名的服務都可以用作反射攻擊,如:NTP、SNMP,行業內監測到的50多種攻擊類型中就有21種利用了物聯網協議,7種游戲協議,16種網絡服務以及6種私有協議,這些反射攻擊的放大倍數少則幾倍,多則高達十幾萬倍,這些反射攻擊的放大倍數少則幾倍,多則高達十幾萬倍,甚至payload為空的的情況下,也能響應超量數據包。
0x03攻防對抗
我們在長期與DDoS黑客”打交道”中,提煉出一套高效準確的研究識別方法,該方法包括兩個方面:
1)監測防御系統
智云盾在全球部署了大量節點,包含一些蜜罐節點,可以有機會觀測到反射攻擊的全過程。
圖6 新型反射攻擊發現
當黑客偽造的反射請求對監控系統進行攻擊時,監測節點實時上報攻擊事件到威脅中心,向全網節點下發采集被攻擊IP地址的指令,深度包分析程序根據IP對應關系提取黑客使用新型反射攻擊的請求指令。
使用這種方法,我們識別了多個新型反射攻擊類型,如CoAP、PMDP等反射攻擊,但是由于資源有限,仍然有許多新型類型難以識別。于是我們提出了基于協議模板fuzz的反射源攻擊手法自動化探測方法。
2)基于協議模板fuzz的反射源攻擊手法自動化探測方法
使用RFC協議庫,構建協議模板庫,通過fuzz算法生成大量的反射請求數據包。對于捕獲到大量響應包的反射攻擊,通過協議模板庫,fuzz識別協議類型,精準生成協議類型。
圖7生成反射請求包
識別協議時:
- 如果協議載荷為文本——可打印的ASCII字符,選擇簡單協議分類的模版庫進行比對,采用文本相似性算法
如果協議載荷為復雜協議——二進制數據和偶爾包含的人可讀的ASCII字符串,選擇復雜協議的模版庫進行比對,采用二進制結構相似性算法。
使用基于生成generation-based的fuzz技術,對生成的協議進行文本建模,基于模型生成請求數據包。這樣能夠高效的獲取新型反射攻擊的請求指令。
3)研究成果
自2018年首次發現IPMI反射攻擊以來,我們累計挖掘出12種新型反射放大攻擊,同時也對業內流行的TCP反射攻擊進行過深入研究,下表展示了我們近年來在反射攻擊領域的研究成果。
0x04反射攻擊匯總
黑客在尋找新的攻擊方式上不再拘泥于傳統公共服務,而是對暴露在公網,并且具備一定規模的UDP服務都嘗試利用作為反射源。我們結合了自己的研究成果以及查閱多方資料,對反射攻擊類型進行了總結,結果如下表:
注:表格科學倍數數據為安全專家計算得出,部分數據結合業內披露的信息,未查詢到相關信息的部分留白
0x05防御措施
反射攻擊都是互聯網上開放服務參與的,作為這些開放服務的運營者應遵循以下防御措施避免成為DDoS反射攻擊的幫兇。
能使用TCP的服務,盡量不要啟用UDP服務
必須使用UDP服務時,應啟用授權認證
使用UDP服務無法啟用授權認證時,應確保響應與請求的倍數不要大于1
增強自身應對惡意請求的能力,及時封禁惡意IP
點擊進入了解更多技術信息~~
總結
以上是生活随笔為你收集整理的DDoS攻击愈演愈烈,反射攻击举足轻重的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 《数据安全法》今日实施,中国信通院联合百
- 下一篇: 做百度AI工程师,还要会“相牛”?