盤點:常見UDP反射放大攻擊的型別與防護措施

網易易盾發表於2019-09-23
本文作者為易盾實驗室工程師


一、DDoS攻擊簡介


分散式拒絕服務攻擊(Distributed Denial of Service)簡稱DDoS,亦稱為阻斷攻擊或洪水攻擊,是目前網際網路最常見的一種攻擊形式。DDoS攻擊通常通過來自大量受感染的計算機(即殭屍網路)的流量,對目標網站或整個網路進行頻寬或資源消耗,使目標無法處理大量資料包,導致服務中斷或停止。


UDP是網路通訊的標準協議,由於UDP資料包是無連結狀態的服務,相對TCP而言,存在更少的錯誤檢查和驗證。攻擊者可以更小代價的利用UDP 協議特性攻擊目標主機,使其無法響應正確請求,甚至會導致線路擁塞。而UDP反射放大攻擊,更是近幾年最火熱,被利用最多的攻擊方式。成本之低,放大倍數之高,使各企業聞D色變。


二、UDP反射放大攻擊原理


很多協議在響應包處理時,要遠大於請求包,一個位元組的請求十個字的響應,十個位元組的請求一百個字的響應,這就是UDP反射放大攻擊最根本的原理。以下將Memcached服務作為例項進一步介紹。


Memcached是一款開源的高效能分散式記憶體物件快取服務,通過快取來降低對資料庫的訪問請求,加快應用程式的響應效率,可以應用於各類快取需求中。通過查詢快取資料庫,直接返回訪問請求,降低對資料庫的訪問次數。

盤點:常見UDP反射放大攻擊的型別與防護措施

也正是這種服務機制,使攻擊者有了可乘之機,借用正常服務達到攻擊的目的。Memcached支援UDP協議的訪問請求,並且預設也會將UDP埠11211對外開放,因此攻擊者只需要通過快速的埠掃描,便可以收集到全球大量沒有限制的Memcached伺服器,隨後攻擊者只需要向Memcached伺服器的UDP:11211埠,傳送偽造為源IP的攻擊目標IP地址的特定指定請求資料包,伺服器在收到該資料包後,會將返回資料傳送至攻擊目標的IP地址。 

盤點:常見UDP反射放大攻擊的型別與防護措施

黑客攻擊者如果利用惡意軟體的傳播,來控制大量殭屍網路,再利用大量殭屍網路作為請求源,向Memcached伺服器發起請求,並偽造資料包和攻擊目標IP,則該返回的資料包將成指數級上升,比原始請求資料包擴大幾百至幾萬倍,從而通過反射加放大的形式,使攻擊目標擁塞,無法正常提供服務。以達到低成本化,高隱蔽性的攻擊手段。

盤點:常見UDP反射放大攻擊的型別與防護措施

三、常見UDP反射型別


除了常見的DNS,NTP等UDP反射放大攻擊型別,目前還有其他十多種UDP協議,均可以用於反射放大攻擊,如:SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY 等。放大倍數從幾倍到幾萬倍,其中部分協議今天仍然非常流行。


此處整理了部分常見UDP反射放大協議,理論放大倍數和實際常見到的放大倍數作為對比,看看誰的放大威力更強。

盤點:常見UDP反射放大攻擊的型別與防護措施

由此可見,這種以小博大,四兩撥千斤的效果使各企業異常頭疼的,部分協議的UDP反射放大倍數,已經超越了單純依靠技術可以防護的階段,還需要投入大量的物料資源給予支援。


四、常見防護方式


針對此類強力的DDoS攻擊方式,有哪些實用又價效比超高的防護手段?


因篇幅有限,下面來介紹比較好落地的防護流程,和幾個簡單有效的演算法措施,可根據業務情況方便的開關增減,和閉環迭代,做到事前預防部署,事中策略對抗,事後分析總結。

盤點:常見UDP反射放大攻擊的型別與防護措施

通告類:關注各個裝置和安全廠商,cncert釋出的最新安全通告,及時更新針對性防護策略;


目標IP+源埠限速:可以用於控制反射性攻擊,且可以預防未知的反射協議;


源IP限速:單個請求源IP的整體控制;


目標IP限速:單個攻擊目標IP的整體可用性控制;


源IP+源埠限速:可以降低部分大客戶源IP在訪問請求時的副作用影響;


目標IP+目標埠限速:適用於目標IP埠開發範圍較大時,可提高業務埠可用率,降低目標整體影響;


包文長度學習:通過對業務歷史包文資料的統計學習,可以描繪出正常業務包大小的正態分佈圖,由此可以清晰識別出構造的超大或超小包攻擊包文;


偏移位元組數學習:檢查學習各個UDP包文中相同偏移未知所包含的相同內容,並將此內容提出作為指紋特徵,根據此指紋特徵,可以判斷UDP包文的丟棄或放行動作;


源埠波動限制:通過對業務正常的流量中,已知可被利用的UDP反射源埠進行統計,對源埠的數量執行監控,在這類源埠出現快速突增的波動時,將該源埠臨時封禁,待源埠數量恢復後則解除封禁,可以大大降低攻擊造成的影響性;


服務白名單:對於已知的UDP反射協議,如DNS伺服器的IP地址新增為白名單,除此之外,其他源IP的53埠請求包,全部封禁,也可以大大減少反射可用點,使UDP反射放大攻擊的影響面降低;


地理位置過濾器:針對業務使用者的地理位置特性,在遇到UDP反射放大攻擊時,可優先從使用者量最少地理位置的源IP進行封禁阻斷,直到將異常地理位置的源IP請求全部封禁掉,使流量降至伺服器可處理的範圍之內,或可有效減輕干擾流量,便於其他演算法進一步處理;


擴容頻寬伺服器:增強頻寬和伺服器的處理能力,增加業務流量和處理極限的可容忍波動範圍,可以減輕在防護過程中造成的影響;


改進高可用架構:同上,可以增加業務流量和處理極限的可容忍波動範圍,可增加分散式節點,可用性自動排程等機制,以保障有節點中斷時快速切換到可用節點。


五、總結


UDP反射放大攻擊,是一種具有超大攻擊威力,且成本低廉,難以追蹤的DDoS攻擊方式。如今的DDoS黑產鏈已經相當的完善和成熟,各個人員的分工,資源獲取,集中管控,需求中介,簡易化操作工具,方便快速的發起攻擊,已經成為黑產界最喜愛的方式之一;


如今的DDoS攻擊越來越普遍,每天都有各式各樣的攻擊不斷在各處上演,攻擊的流量也已經從G級別上升到T級別,一頓飯的價格,一支菸的時間,就可以給企業造成難以估計的經濟損失和品牌受損。尤其是遊戲類,金融類,電商類,都屬於DDoS攻擊的重災區,如果能夠充分藉助大資料,人工智慧技術,以及各大運營商,安全服務廠商的支援,和更有效的預警和防護處置方案,將會為企業的安全提供最有力的安全協同保障。

相關文章