應對UDP反射放大攻擊的五種常用防護思路
本月,美國聯邦調查局(FBI)發出警告,稱發現幾種新的網路協議被不法分子用來發動大規模的分散式拒絕服務(DDoS)攻擊。警告包括三種網路協議和一款Web應用程式。其中CoAP(受約束的應用協議)、WS-DD(Web服務動態發現)和ARMS(Apple遠端管理服務)這三種網路協議已有媒體報導,發現了在實際網路環境中的濫用情況。
FBI 的官員表示,這些新型DDoS攻擊途徑已經是迫在眉睫的真實威脅。由於他們對相關裝置的必要性,廠商難以透過禁用實現攻擊的阻止。而這無疑給打造大規模殭屍網路,發動極具破壞性的 DDoS 攻擊提供了便利。
找到有效安全手段的前提,是對攻擊的充分了解。以下是綠盟科技對這四種新型 DDoS 攻擊途徑的解讀,以及核心的防護思路分享。
CoAP:約束應用協議(Constrained Application Protocol)
CoAP是一種輕量級的機器對機器(M2M)協議,可以在記憶體和計算資源稀缺的智慧裝置上執行。簡單來說,CoAP與HTTP非常類似。但它不是工作在TCP包,而是在UDP上。就像HTTP用於在客戶端和伺服器之間傳輸資料和命令(GET,POST,CONNECT等)一樣,CoAP也允許相同的多播和命令傳輸功能,但不需要那麼多的資源,這使它成為物聯網裝置的理想選擇。然而,就像其它基於UDP的協議,CoAP天生就容易受到IP地址欺騙和資料包放大的影響,這也是它容易被DDoS攻擊濫用的主要原因。
WS-DD:Web服務動態發現(Web Services Dynamic Discovery)
WS-DD是一種區域網內的服務發現多播協議。但經常因為裝置廠商的設計不當,當一個正常的IP地址傳送服務發現報文時,裝置也會對其進行回應。如果裝置被暴露在網際網路上,即可被攻擊者用於DDoS反射攻擊。WSD協議所對應的埠號是3702。當前,影片監控裝置的ONVIF規範以及一些印表機,都開放或在正在使用WS-DD服務。其實早在2019年,綠盟科技格物實驗室就對WS-DD可被用於反射攻擊做出了分析。
http://blog.nsfocus.net/ws-discovery-reflection-attack-analysis/
ARMS:遠端管理服務(Apple Remote Management Service)
2019年,已有不法分子利用Apple遠端管理服務(ARMS)即Apple遠端桌面(ARD)功能的一部分,實施了DDoS放大攻擊。ARD啟用後,ARMS服務開始在埠3283上偵聽傳輸到遠端Apple裝置的入站命令,攻擊者進而可以發動放大倍數為35.5的DDoS放大攻擊。此漏洞的來源在於ARMS自身服務的設計缺陷。在使用UDP傳輸協議的情況下,客戶端向netAssistant服務埠(即3283埠)傳送一個UDP最小包,netAssistant服務便會返回攜帶有主機標識的超大包,請求與響應相差數十倍。由於其並未嚴格限制請求與響應比,導致暴露在公網中開啟netAssistant服務的網路裝置均有可能被當作反射源使用。
Jenkins:基於 Web 的自動化軟體
Jenkins是一個開源的、可擴充套件的持續整合、交付、部署(軟體/程式碼的編譯、打包、部署)的基於Web的平臺。Jenkins是一個執行自動化任務的開源伺服器。利用Jenkins的漏洞(如CVE-2020-2100),可以用來發動 DDoS 攻擊。儘管Jenkins v2.219中已經修復了這個漏洞,但是很多Jenkin伺服器仍然會受到影響。
實際上,除了FBI 提及的這四種新型 DDoS 攻擊途徑,我們還應關注更多可用於反射放大攻擊 ,工作在UDP 的協議。如SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY 等。
UDP反射放大攻擊是近幾年最火熱,被利用最多的DDoS攻擊方式之一。UDP資料包是無連結狀態的服務,攻擊者可以小代價的利用UDP 協議特性攻擊目標主機,使其無法響應正確請求,以實現拒絕服務。
那麼,我們應該如何應對UDP反射放大攻擊?本文給出以下5種常用的防護思路:
1. 指紋學習演算法:學習檢查UDP報文中的Payload,自動提取攻擊指紋特徵,基於攻擊特徵自動進行丟棄或者限速等動作。
2. 流量波動抑制演算法:產品透過對正常的業務流量進行學習建模,當某類異常流量出現快速突增的波動時,自動判斷哪些是異常從而進行限速/封禁,以避免對正常流量造成影響。
3. 基於IP和埠的限速:透過對源IP、源埠、目標IP、目標埠的多種搭配組合進行限速控制,實現靈活有效的防護策略。
4. 服務白名單:對於已知的UDP反射協議,如DNS伺服器的IP地址新增為白名單,除此之外,其他源IP的53埠請求包,全部封禁,使UDP反射放大攻擊的影響面降低。
5. 地理位置過濾器:針對業務使用者的地理位置特性,在遇到UDP反射攻擊時,優先從使用者量最少地理位置的源IP進行封禁阻斷,直到將異常地理位置的源IP請求全部封禁,使流量降至伺服器可處理的範圍之內,可有效減輕干擾流量。
相關文章
- 盤點:常見UDP反射放大攻擊的型別與防護措施UDP反射型別
- 淺析DDOS攻擊防護思路
- CDN流量放大攻擊思路
- TFTP反射放大攻擊淺析FTP反射
- DHDiscover反射攻擊:可將攻擊放大近200倍反射
- 淺談基於 NTP 的反射和放大攻擊反射
- 五種常見的DNS攻擊型別及應對方式DNS型別
- 綜述論文:對抗攻擊的12種攻擊方法和15種防禦方法
- 淺談 CC 攻擊的防護方法
- 如何降低網站被攻擊的風險?常用防護措施有哪些?網站
- 反射型 DDoS 攻擊的原理和防範措施反射
- ArborNetworks基於應用層防護DDoS攻擊
- 網路釣魚攻擊常用方法是什麼?如何防護?
- 常見的攻擊方式以及防護策略
- app怎麼防止被攻擊被打有多少種防護方式?APP
- WEB三大攻擊之—SQL隱碼攻擊與防護WebSQL
- 幾種常見的DDOS攻擊應對策略
- 【網路安全分享】APT攻擊常用的4種攻擊手段!APT
- 放大倍數超5萬倍的Memcached DDoS反射攻擊,怎麼破?反射
- 盤點:你最可能面對的五種網路攻擊
- 雲安全:防護“工具”還是攻擊“利器”
- sql注入定義、原理、攻擊和防護SQL
- 安全保護路由器防駭客攻擊路由器
- 網路攻擊盯上民生領域,應對DDoS和APT攻擊,如何有效防禦?APT
- ZoomEye專題報告 | DDoS 反射放大攻擊全球探測分析OOM反射
- DDOS攻擊原理,種類及其防禦
- 應對網路攻擊:提前預警+積極防禦
- 透過流量限制防DDOS udp,ICMP攻擊防火牆配置UDP防火牆
- 5 種方法,教你如何防禦供應鏈網路攻擊
- 淺談DDOS中NTP放大攻擊的操作過程以及防禦措施?
- 被攻擊怎麼解決?DDoS高防IP防護策略
- 如何做好防護SQL隱碼攻擊漏洞SQL
- 無線網路攻擊有哪些?如何防護?
- 一種產生 DSN 放大攻擊的深度學習技術深度學習
- 盤點黑客攻擊途徑:最常用的7個策略及簡單的防護方法黑客
- DDOS攻擊的具體解決辦法如何防護
- 【漏洞分析】Reflection Token 反射型代幣攻擊事件通用分析思路反射事件
- 應對CC攻擊的自動防禦系統——原理與實現