應對UDP反射放大攻擊的五種常用防護思路

綠盟科技發表於2020-08-11

本月,美國聯邦調查局(FBI)發出警告,稱發現幾種新的網路協議被不法分子用來發動大規模的分散式拒絕服務(DDoS)攻擊。警告包括三種網路協議和一款Web應用程式。其中CoAP(受約束的應用協議)、WS-DD(Web服務動態發現)和ARMS(Apple遠端管理服務)這三種網路協議已有媒體報導,發現了在實際網路環境中的濫用情況。

FBI 的官員表示,這些新型DDoS攻擊途徑已經是迫在眉睫的真實威脅。由於他們對相關裝置的必要性,廠商難以透過禁用實現攻擊的阻止。而這無疑給打造大規模殭屍網路,發動極具破壞性的 DDoS 攻擊提供了便利。

找到有效安全手段的前提,是對攻擊的充分了解。以下是綠盟科技對這四種新型 DDoS 攻擊途徑的解讀,以及核心的防護思路分享。

CoAP:約束應用協議(Constrained Application Protocol)

CoAP是一種輕量級的機器對機器(M2M)協議,可以在記憶體和計算資源稀缺的智慧裝置上執行。簡單來說,CoAP與HTTP非常類似。但它不是工作在TCP包,而是在UDP上。就像HTTP用於在客戶端和伺服器之間傳輸資料和命令(GET,POST,CONNECT等)一樣,CoAP也允許相同的多播和命令傳輸功能,但不需要那麼多的資源,這使它成為物聯網裝置的理想選擇。然而,就像其它基於UDP的協議,CoAP天生就容易受到IP地址欺騙和資料包放大的影響,這也是它容易被DDoS攻擊濫用的主要原因。

WS-DD:Web服務動態發現(Web Services Dynamic Discovery)

WS-DD是一種區域網內的服務發現多播協議。但經常因為裝置廠商的設計不當,當一個正常的IP地址傳送服務發現報文時,裝置也會對其進行回應。如果裝置被暴露在網際網路上,即可被攻擊者用於DDoS反射攻擊。WSD協議所對應的埠號是3702。當前,影片監控裝置的ONVIF規範以及一些印表機,都開放或在正在使用WS-DD服務。其實早在2019年,綠盟科技格物實驗室就對WS-DD可被用於反射攻擊做出了分析。

http://blog.nsfocus.net/ws-discovery-reflection-attack-analysis/

ARMS:遠端管理服務(Apple Remote Management Service)

2019年,已有不法分子利用Apple遠端管理服務(ARMS)即Apple遠端桌面(ARD)功能的一部分,實施了DDoS放大攻擊。ARD啟用後,ARMS服務開始在埠3283上偵聽傳輸到遠端Apple裝置的入站命令,攻擊者進而可以發動放大倍數為35.5的DDoS放大攻擊。此漏洞的來源在於ARMS自身服務的設計缺陷。在使用UDP傳輸協議的情況下,客戶端向netAssistant服務埠(即3283埠)傳送一個UDP最小包,netAssistant服務便會返回攜帶有主機標識的超大包,請求與響應相差數十倍。由於其並未嚴格限制請求與響應比,導致暴露在公網中開啟netAssistant服務的網路裝置均有可能被當作反射源使用。

Jenkins:基於 Web 的自動化軟體

Jenkins是一個開源的、可擴充套件的持續整合、交付、部署(軟體/程式碼的編譯、打包、部署)的基於Web的平臺。Jenkins是一個執行自動化任務的開源伺服器。利用Jenkins的漏洞(如CVE-2020-2100),可以用來發動 DDoS 攻擊。儘管Jenkins v2.219中已經修復了這個漏洞,但是很多Jenkin伺服器仍然會受到影響。

實際上,除了FBI 提及的這四種新型 DDoS 攻擊途徑,我們還應關注更多可用於反射放大攻擊 ,工作在UDP 的協議。如SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY 等。

應對UDP反射放大攻擊的五種常用防護思路

UDP反射放大攻擊是近幾年最火熱,被利用最多的DDoS攻擊方式之一。UDP資料包是無連結狀態的服務,攻擊者可以小代價的利用UDP 協議特性攻擊目標主機,使其無法響應正確請求,以實現拒絕服務。

那麼,我們應該如何應對UDP反射放大攻擊?本文給出以下5種常用的防護思路:

1. 指紋學習演算法:學習檢查UDP報文中的Payload,自動提取攻擊指紋特徵,基於攻擊特徵自動進行丟棄或者限速等動作。

2. 流量波動抑制演算法:產品透過對正常的業務流量進行學習建模,當某類異常流量出現快速突增的波動時,自動判斷哪些是異常從而進行限速/封禁,以避免對正常流量造成影響。

3. 基於IP和埠的限速:透過對源IP、源埠、目標IP、目標埠的多種搭配組合進行限速控制,實現靈活有效的防護策略。

4. 服務白名單:對於已知的UDP反射協議,如DNS伺服器的IP地址新增為白名單,除此之外,其他源IP的53埠請求包,全部封禁,使UDP反射放大攻擊的影響面降低。

5. 地理位置過濾器:針對業務使用者的地理位置特性,在遇到UDP反射攻擊時,優先從使用者量最少地理位置的源IP進行封禁阻斷,直到將異常地理位置的源IP請求全部封禁,使流量降至伺服器可處理的範圍之內,可有效減輕干擾流量。

相關文章