DDOS反射性放大攻击的风险探讨

        近期在DDoS攻击中网络攻击者正越来越多地运用反射放大攻击,先前觉得根据网空引擎搜索就可以检测/搜索不一样协议的开放服务,比如Censys/openresolver会检测开放DNS服务、Shadowserver会检测开放的CharGen、ssh2、QOTD和SNMP服务等,但其实这也是不正常的。即便 是同样版本号的服务也会存有放大因素不一样、查找方法不一样的不可预见性,因而应用一致方法开展估算并不精确。

outputo-20210904-142321-254-kkfp.png

一切响应超过查找的无状态协议都有可能被乱用于反射放大攻击,先前的深入分析都聚集在:什么样子的查找会造成 反射放大?会造成多少的反射放大?反射放大基本概念以下所显示:网络攻击者假造受害人的IP为源IP,向反射放大源服务器发送小查找post请求,而网站服务器回应受害人的响应非常大。反射放大因素(ND,也称BAF)就是响应和查找的比率,用以考量反射放大的“杆杠“占比。

因为机器设备和协议两者之间存有明显差别,依靠服务器进行调查的方法有可能会不正确估算风险性。因此须要开展调查精确测量,制定AmpMap对于6种根据UDP协议的服务开展了检测调查,不但发觉先前限制特殊查找的保护方法依然会留有风险性,也是有很多网站服务器并不应用最佳实践开展减轻(如限制速度、限制浏览等),也有很多别的反射放大的查找方法会被漏写。

以DNS协议为例子,运用已经知道DNS会危害反射放大的三个字段(recordtype、EDNS、recursiondesired),搭建171个查找方法,在Censys中随机抽取1500个DNS网站服务器,向其发送这种查找方法,纪录每一个查找的反射放大因素。此外,也应用Nmap对网站服务器的服务版本号开展检测。

应用同样查找方法时,其实不一样服务器进行的反射放大因素也是在改变的。限制TOP10的查找方法的情形下,标准偏差为3.2到18两者之间。而拓展到全部查找方法时,标准偏差为16.7。

深入分析得知,是不能用1个网站服务器和1个软件版本相近推论反射放大的风险性的。

分享: