DDoS攻击愈演愈烈,反射攻击举足轻重

原创
2021/09/03 16:20
阅读数 84

0x00概述
全球DDoS网络攻击次数不断增长,反射攻击次数也是逐年上升,笔者在之前撰写的文章 《史上最大DDoS攻击"之争"》 中提到的几次”最大”攻击,都是以CLDAP为主的反射攻击。
除了CLDAP反射攻击外,SSDP、NTP等反射攻击也是历年来最为流行的攻击类型,最近几年不断有新的攻击类型被发现,行业内监测到的反射类型有50多种,其中智云盾团队针对其中12种做了首次技术分析和攻击预警。

0x01反射攻击态势
DDoS攻击峰值和攻击频率不断增高,反射攻击的占比从2017年的21%,增长到2021年接近50%,下图展示了DDoS攻击次数与反射攻击增长的趋势。
图1 DDoS攻击与反射攻击趋势(数据来源:百度安全年报)
统计2021上半年DDoS攻击类型占比,udp反射攻击拥有高达38.85%的占比,相较于2020年同期上升明显。
图2 2021上半年攻击类型占比
统计反射攻击类型TOP6的数据,SSDP、NTP、SNMP、Memcache、DNS和CLDAP是最为活跃的反射攻击。
图3 2021上半年反射型攻击TOP6
其中CLDAP是近年来较火的攻击类型,业内披露的多次T级以上的超大攻击,都有CLDAP攻击的参与,CLDAP协议广泛应用于Windows服务器的活动目录服务(AD),反射放大倍数超过70倍。

0x02反射攻击原理
原理如下图所示:

图4 反射攻击原理示意图
图中攻击者Attacker伪造了请求包Pva发送到反射服务器Amplifiers(简称A),但Pva的源IP是受害者Victim(简称V),所以A响应的时候发送Pav给到V,Pav往往是Pva的好几倍,甚至是成千上万倍。
反射攻击一方面隐藏了黑客IP,同时还有一个重要特征是放大攻击流量。
1)隐藏黑客IP
黑客实施攻击时,不是直接攻击受害者IP,而是伪造受害者IP的大量请求发给相应的开放服务,相应服务将大量的恶意流量发送给受害者,这样就产生的隐藏了发送者真实身份的效果。
有一种情况是国内三大运营商的边缘网络或路由器会检查源IP,对不是同一网络的IP出向包进行丢弃。
针对这种情况,黑客会在使用相应手段储备攻击资源,下图展示了BillGates木马收集的过程。
  图5 BillGates木马
上图中序号19、20两个包中红色打码的是BillGates木马用真实IP收发心跳包,序号21和22是木马伪造不同的IP段发包,payload中记录了真实IP。木马收到请求包后根据payload是否包含真实IP来确定哪些IP段可以用于伪造。
BiillGates木马通过收发心跳包来确定哪些IP段是可以将伪造的请求顺利通过边缘网络或路由器发到主控端。
2)放大攻击流量
反射攻击流行的另一个重要原因是反射服务带有放大效果,这些服务使用的协议通常不对来源请求进行安全性校验,直接响应数倍乃至数万倍于请求的数据包,例如我们熟知的Memcache反射攻击,最大的放大倍数可达十几万倍。
很多知名的服务都可以用作反射攻击,如:NTP、SNMP,行业内监测到的50多种攻击类型中就有21种利用了物联网协议,7种游戏协议,16种网络服务以及6种私有协议,这些反射攻击的放大倍数少则几倍,多则高达十几万倍,这些反射攻击的放大倍数少则几倍,多则高达十几万倍,甚至payload为空的的情况下,也能响应超量数据包。

0x03攻防对抗
我们在长期与DDoS黑客”打交道”中,提炼出一套高效准确的研究识别方法,该方法包括两个方面:
1)监测防御系统
智云盾在全球部署了大量节点,包含一些蜜罐节点,可以有机会观测到反射攻击的全过程。
图6 新型反射攻击发现
当黑客伪造的反射请求对监控系统进行攻击时,监测节点实时上报攻击事件到威胁中心,向全网节点下发采集被攻击IP地址的指令,深度包分析程序根据IP对应关系提取黑客使用新型反射攻击的请求指令。
使用这种方法,我们识别了多个新型反射攻击类型,如CoAP、PMDP等反射攻击,但是由于资源有限,仍然有许多新型类型难以识别。于是我们提出了基于协议模板fuzz的反射源攻击手法自动化探测方法。
2)基于协议模板fuzz的反射源攻击手法自动化探测方法
使用RFC协议库,构建协议模板库,通过fuzz算法生成大量的反射请求数据包。对于捕获到大量响应包的反射攻击,通过协议模板库,fuzz识别协议类型,精准生成协议类型。
图7生成反射请求包
识别协议时:
  • 如果协议载荷为文本——可打印的ASCII字符,选择简单协议分类的模版库进行比对,采用文本相似性算法
  • 如果协议载荷为复杂协议——二进制数据和偶尔包含的人可读的ASCII字符串,选择复杂协议的模版库进行比对,采用二进制结构相似性算法。
使用基于生成generation-based的fuzz技术,对生成的协议进行文本建模,基于模型生成请求数据包。这样能够高效的获取新型反射攻击的请求指令。

3)研究成果
自2018年首次发现IPMI反射攻击以来,我们累计挖掘出12种新型反射放大攻击,同时也对业内流行的TCP反射攻击进行过深入研究,下表展示了我们近年来在反射攻击领域的研究成果。
序号
名称
特征(端口)
传统倍数
科学倍数
发现时间
1
IMPI
623
1.1
1.07
2018.02
2
A2S_INFO
2303
7.36
2.7
2018.11
3
WS-Discovery
3702
500
414
2019.02
4
Ubiquiti
10001
11.7
6.88
2020.12
5
CoAP
5683
15.74
11.76
2019.04
6
ARMS
3283
22.3
12.76
2020.02
7
黑客自建数万倍反射源
随机大端口
53087.5
39746.4
2020.04
8
PMDP
32410,32414
12.9
3.77
2021.01
9
DTLS
443
28
26.5
2021.02
10
WdbRPC
17185
10.23
7.85
2018.05
11
BACnet
47808
2.96
2.5
2015.03
12
SmartZone
9001
无穷大
65.8
2021.07

0x04反射攻击汇总
黑客在寻找新的攻击方式上不再拘泥于传统公共服务,而是对暴露在公网,并且具备一定规模的UDP服务都尝试利用作为反射源。我们结合了自己的研究成果以及查阅多方资料,对反射攻击类型进行了总结,结果如下表:
序号
名称
特征(端口)
传统倍数
科学倍数
发现时间
备注
1
ADDP
2362
7.14
1.47
2020.06
设备发现协议
2
A2S_INFO
2303
7.36
2.7
2018.12
游戏协议
3
ARMS
3283
22.3
12.76
2018.02

4
BACnet
47808
2.96
2.5
2015.03
智能楼宇协议
5
BitTorrent
6881-6889
120
43
2015.08
比特流协议
6
Chargen
19
358.8
270.45
1996
字符发生器协议
7
Chameleon
20811
40
32
2021.02
ChameleonVPN服务
8
CMFAB
1604



一款应用
9
CLDAP
389,636
70
53
2016.10
轻量目录访问协议
10
CBEV
2302,2303


2019.04
Combat
Evolve游戏
11
CoAP
5683
15.74
11.76
2019.04
约束应用协议
12
DCCP



2021.04
传输层协议,用于数据报拥塞控制
13
DHDP
37810
11.3
11.76
2019.04
视频监控服务
14
DNS
53
54
46
2015.04

15
DTLS
443
28
26.5
2020.12
数据报安全传输协议
16
Gameover
Any
45.4

2010.04
一款游戏服务
17
IPMI
623
1.1
1.07
2018.03
IMPI管理服务
18
IKEv1
500
4.6
3.79
2016.0 7
VPN服务
19
Jenkins
33848
3
2.45
2020.02

20
KAD
4672,6429
16.3

2012
Kademlia
21
MDNS
5353
10
6.2

2015.03
局域网内组播DNS
22
Memcached
11211
10000
100000
2017.06

23
MCSQLR
1434
25
17.4
2015.07
Microsoft SQL Server
24
NATPMP
5351


2014.07
端口映射协议
25
NetBIOS
136,137,139
3.8

2015.02
网络输入输出协议
26
NTP
123
556.9
437.5
2015.04
时间同步协议
27
OpenVPN
1194
40
60
2019.09

28
PMDP
32410,32414
12.9
3.77
2021.01
应用于流媒体服务中的设备发现协议
29
PortMap
111
5.54
7.14
2018.09
端口映射协议
30
PPTP
1723


2002.08
PPTPVPN服务
31
QOTD
17
140.3

1996

32
Quake3
26000
63.9
63.9
2012.05

33
RDP
3389
15.29
85.9
2020.12
Windows RDP服务器
34
RIPv1
520
6.29
8.4
2015.05
路由协议
35
Sality
9674
17
37.3
2002.01

36
Sentinel
3588,5093


2015.02

37
SIP
5060


2014.08
会话初始协议
38
SmartZone
9001
无穷大
65.8
2021.07
网络控制设备
39
SNMP
161
6.3
4.67
2015.04
简单网络管理协议
40
SRVLOC
427



服务定位协议
41
SSDP
1900
4.78
30.8
2016.07
设备发现协议
42
STUN
3478
3.19
2.3
2017.06
UDP穿透NAT
43
TeamSpeak2
8767
3.75
2.1
2015.08
语音通信服务器版本1
44
TeamSpeak3
9987
4.62
2.6
2015.08
语音通信服务器版本2
45
Tenfold
658
37



46
TFTP
随机大端口
55.8
41.57
2015.03
简单文件传输协议
47
Ubiquiti
10001
11.7
6.88
2020.12
AP发现服务
48
VSE
27015



一款游戏
49
WSDP
3702
500
414
2019.02
设备发现协议
50
WdbRPC
17185
10.23
7.85
2018.05
远程调试服务
51
XDMCP
177


2005.03
远程管理服务

注:表格科学倍数数据为安全专家计算得出,部分数据结合业内披露的信息,未查询到相关信息的部分留白

0x05防御措施
反射攻击都是互联网上开放服务参与的,作为这些开放服务的运营者应遵循以下防御措施避免成为DDoS反射攻击的帮凶。
    1. 能使用TCP的服务,尽量不要启用UDP服务
    2. 必须使用UDP服务时,应启用授权认证
    3. 使用UDP服务无法启用授权认证时,应确保响应与请求的倍数不要大于1
    4. 增强自身应对恶意请求的能力,及时封禁恶意IP

智云盾团队介绍
百度智云盾是百度安全专注在互联网基础设施网络安全攻防的团队,提供T级云防、定制端防和运营商联防等DDoS/CC防御解决方案。一直服务于搜索、贴吧、地图、云等百度业务,在保障百度全场景业务之余也进行防御能力外部输出,为互联网客户提供一体化的防御服务。

参考链接:
  1. https://www.freebuf.com/articles/network/181884.html
  2. https://therecord.media/new-ddos-attack-vector-discovered-in-dccp-protocol/
  3. http://blog.nsfocus.net/tftp-reflection-attack-analysis-report/
  4. https://paper.seebug.org/1571/
  5. https://www.t00ls.net/articles-59673.html
  6. https://anquan.baidu.com/article/807
  7. http://drops.xmd5.com/static/drops/tips-2106.html
  8. https://securityaffairs.co/wordpress/35607/hacking/mdns-amplify-ddos-attack.html
  9. https://nsfocusglobal.com/what-you-should-know-about-openvpn-reflection-attacks/
  10. https://www.freebuf.com/articles/network/274583.html

本文分享自微信公众号 - 百度安全实验室(BaiduX_lab)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部