OpenVPN 是一個基於 OpenSSL 庫的應用層 VPN 實現，其服務埠為1194，2019年9月被發現可被用於UDP反射攻擊。藉助綠盟威脅情報中心（NTI）的全網測繪資料和綠盟威脅捕獲系統的威脅捕獲資料，本文對其全網暴露情況、攻擊者常用的攻擊手法、反射攻擊頻寬放大因子等進行了分析。

本文的關鍵發現如下：

-  全球有約75萬個IP開放了OpenVPN服務，存在被利用進行DDoS攻擊的風險。

-  開放OpenVPN服務的資產暴露數量最多的五個國家依次是美國、德國、中國、英國和義大利。

-  透過對綠盟威脅捕獲系統在2020年6月1日到2020年8月10日捕獲到的訪問1194埠的日誌資料進行分析，除個別日期日誌數量較大外，日常捕獲的日誌數量在幾十到幾百不等，因此，我們認為這更多是對於OpenVPN服務的探測，而不是在利用OpenVPN服務進行反射攻擊。

-  綠盟威脅捕獲系統捕獲的Payload長度主要為2位元組（24.6%）、14位元組（19.8%）和1位元組（10.1%）。

-  我們採用了三種方式來對OpenVPN頻寬放大因子進行評估：一是傳送14位元組Payload，測試節點首先回復一個26位元組報文，如果沒有繼續收到回應的話，會每隔2、4、8、16秒傳送一個14位元組的報文，按照這種方式可以得到OpenVPN的平均頻寬放大因子為5.9；二是傳送2位元組的Payload，全網共有51161個IP對其進行了響應，響應的長度均為26位元組。我們也隨機選取了一些存活的IP進行驗證，發現僅收到這一個報文，可得平均頻寬放大因子為13；三是傳送1位元組的Payload，我們僅選取若干IP進行了簡要驗證，與第二種類似，僅收到一個響應報文，可得平均頻寬放大因子為26。從攻擊價效比的角度考慮，我們認為能夠對2位元組和1位元組Payload有響應的IP的威脅更大一些。

-  有文章提到可以在抗DDoS裝置或邊界路由上配置過濾規則，過濾源埠為1194，長度大於等於56位元組的UDP資料包，透過綠盟威脅捕獲系統的Payload捕獲情況以及我們的分析驗證，這樣的過濾規則需改進為過濾大於等於14位元組的資料包。

1.  OpenVPN服務暴露情況分析

本章我們對OpenVPN服務的暴露情況進行了分析，採用的是綠盟威脅情報中心（NTI）在2020年5月的一輪完整測繪資料。

全球有約75萬個IP開放了OpenVPN服務，存在被利用進行DDoS攻擊的風險。    

開放OpenVPN服務的資產暴露數量最多的五個國家依次是美國、德國、中國、英國和義大利。

圖 1.1  開放OpenVPN服務的資產國家分佈情況

2.  OpenVPN反射攻擊分析

本章我們透過綠盟威脅捕獲系統在2020年6月1日到2020年8月10日捕獲到的訪問1194埠的日誌資料來說明當前OpenVPN反射攻擊的威脅態勢。

我們對綠盟威脅捕獲系統捕獲到的1194埠的日誌數量進行了分析，如圖 2.1 所示。從圖中可以看出，除個別日期日誌數量較大外，日常捕獲的日誌數量在幾十到幾百不等，因此，我們認為這更多是對於OpenVPN服務的探測，而不是在利用OpenVPN服務進行反射攻擊。

圖 2.1  OpenVPN服務被訪問趨勢

我們對1194埠收到的日誌資料中的payload進行了統計，出於儘量不擴散攻擊報文的考慮，這裡我們按照出現的報文的長度對其命名。從圖 2.2 中可以看出，攻擊者較常使用的Payload的長度有2位元組、14位元組和1位元組，其中14位元組有多種。

圖 2.2  綠盟威脅捕獲系統捕獲的payload佔比情況

在對OpenVPN服務進行全網測繪時，我們並未採用友商文章[1]中提到的96位元組的報文，而是採用了綠盟威脅捕獲系統捕獲的被攻擊者使用的一個14位元組的報文（Payload14A），也即有約75萬個IP會對該報文進行響應，這與友商文章中提到的OpenVPN的暴露數量一致，說明可以將其作為服務探測報文。我們隨機選取了30個存活IP進行驗證，發現OpenVPN服務會按照這樣的規律進行回覆：首先回復一個26位元組報文，如果沒有繼續收到回應的話，會每隔2、4、8、16秒傳送一個14位元組的報文，如圖 2.3 所示。按照這種方式可以得到OpenVPN的平均頻寬放大因子（bandwidth amplification factor，BAF）[①][2]為5.9。另外，考慮到長度越短可能造成的反射倍數就越大，我們也對Payload2進行了一輪測繪，全網共有51161個IP對其進行了響應，響應包的長度均為26位元組（過濾非OpenVPN服務後）。我們也隨機選取了一些存活的IP進行驗證，發現僅收到這一個報文。按照這種方式得到的OpenVPN的平均頻寬放大因子為13。對於Payload1我們未進行測繪，但是進行了簡要驗證，發現響應包的長度也是26位元組，可得頻寬放大因子為26。從攻擊價效比的角度考慮，我們認為能夠對2位元組和1位元組Payload有響應的IP的威脅更大一些。

圖 2.3  某測試IP對於Payload14A的響應情況

3.  小結

藉助綠盟威脅情報中心（NTI）的全網測繪資料和綠盟威脅捕獲系統的威脅捕獲資料，本文對其全網暴露情況、攻擊者常用的攻擊手法、反射攻擊頻寬放大因子等進行了分析。

作為安全廠商：

（1）可以在掃描類產品中加入OpenVPN掃描能力，及時發現客戶網路中存在的安全隱患。

（2）可以在防護類產品中加入對於OpenVPN的流量檢測能力，及時發現客戶網路中存在的安全威脅。也可以關聯開放OpenVPN服務的IP的威脅情報，阻斷命中的源IP的連線。

作為電信運營商，需遵循BCP38網路入口過濾。

作為監管部門，對於網路中的OpenVPN威脅進行監控，發現問題進行通報。

作為OpenVPN使用者，可以設定服務訪問白名單。

作為有DDoS防護需求的使用者，購買具備OpenVPN反射攻擊防護能力的安全廠商的DDoS防護產品。

參考文獻

[1] OpenVPN服務被利用於UDP反射放大DDoS攻擊, https://www.freebuf.com/vuls/215171.html

[2] Amplification Hell: Revisiting Network Protocols for DDoS Abuse, https://www.ndss-symposium.org/ndss2014/programme/amplification-hell-revisiting-network-protocols-ddos-abuse/

關於格物實驗室

格物實驗室專注於工業網際網路、物聯網和車聯網三大業務場景的安全研究。 致力於以場景為導向，智慧裝置為中心的漏洞挖掘、研究與安全分析，關注物聯網資產、漏洞、威脅分析。目前已釋出多篇研究報告，包括《物聯網安全白皮書》、《物聯網安全年報2017》、《物聯網安全年報2018》、《物聯網安全年報2019》、《國內物聯網資產的暴露情況分析》、《智慧裝置安全分析手冊》等。與產品團隊聯合推出綠盟物聯網安全風控平臺，定位運營商行業物聯網路卡的風險管控；推出韌體安全檢測平臺，以便快速發現裝置中可能存在的漏洞，以避免因弱口令、溢位等漏洞引起裝置控制許可權的洩露。

關於伏影實驗室

伏影實驗室專注於安全威脅與監測技術研究。 研究目標包括殭屍網路威脅，DDoS對抗，WEB對抗，流行服務系統脆弱利用威脅、身份認證威脅，數字資產威脅，黑色產業威脅及新興威脅。透過掌控現網威脅來識別風險，緩解威脅傷害，為威脅對抗提供決策支撐。

綠盟威脅捕獲系統

網路安全發展至今特別是隨著威脅情報的興起和虛擬化技術的不斷髮展，欺騙技術也越來越受到各方的關注。欺騙技術就是威脅捕獲系統關鍵技術之一。它的高保真、高質量、鮮活性等特徵，使之成為研究敵人的重要手段，同時實時捕獲一手威脅時間不再具有滯後性，非常適合威脅情報的時效性需求。

綠盟於2017年中旬運營了一套威脅捕獲系統，發展至今已逐步成熟，感知節點遍佈世界五大洲，覆蓋了20多個國家，覆蓋常見服務、IOT服務，工控服務等。形成了以全埠模擬為基礎，智慧互動服務為輔的混合型感知架構，每天從網際網路中捕獲大量的鮮活威脅情報，實時感知威脅。