可模糊源埠資料的新型DDoS攻擊方法

　　最近的分散式拒絕服務(DDoS)攻擊展現透過模糊源埠資料繞過現有防禦機制的新特性。

　　網路安全解決方案提供商Imperva稱，除了常見的放大攻擊方法，新觀測到的攻擊使用了DDoS防禦者沒想到的非常規源埠資料。該攻擊方法利用的是著名的UPnP(通用即插即用)協議漏洞。

　　UPnP協議允許透過 UDP 1900 埠發現裝置，並允許使用任意TCP埠進行裝置控制。因此，很多IoT裝置都用該協議在區域網(LAN)上相互發現並通訊。

　　然而，開放遠端訪問的裝置預設設定、身份驗證機制的缺乏，以及UPnP遠端程式碼執行漏洞，令該協議構成了安全風險。

　　UPnP相關漏洞早在20年前就被安全研究人員披露了，除此之外，簡單物件訪問協議(SOAP) API呼叫也可用於透過廣域網(WAN)遠端重配置不安全裝置。控制埠轉發規則的AddPortMapping指令同樣能經 SOAP API 呼叫遠端執行。

　　2018年4月11日，Imperva在緩解某簡單服務發現協議(SSDP)放大攻擊時，注意到某些攻擊載荷不是來自UDP/1900，而是來自一個非預期的源埠。幾周後的另一個攻擊中，同樣的方法再次出現。

　　Imperva稱：“對這些事件的調查，讓我們構建出整合了UPnP的攻擊方法的概念驗證程式碼(PoC)，可被用於模糊任意放大攻擊載荷的源埠資訊。”

　　想要使用該PoC執行DNS放大攻擊，先得利用Shodan之類公開線上服務執行大範圍SSDP掃描，找出開放UPnP路由器。

　　此類掃描能掃出130多萬臺此類裝置，當然，不是全部裝置都帶有相應漏洞。但定位出一臺可利用的脆弱裝置依然相當容易，因為可以用指令碼自動化該過程。

　　接下來，攻擊者需要透過HTTP訪問該裝置的XML檔案(rootDesc.xml)，用Shodan中的真實裝置IP替換掉‘Location’ IP就行。

　　rootDesc.xml檔案列出了所有可用UPnP服務和裝置，下一步就是透過AddPortMapping指令修改裝置的埠轉發規則。

　　運用檔案中的機制，可以使用SOAP請求來建立轉發規則，將所有傳送至埠1337的UDP包透過埠UDP/53(DNS埠)重路由至外部DNS伺服器(3.3.3.3)。

　　雖然埠轉發應僅用於將外部IP的流量對映到內部IP或反之，但大多數並不驗證所提供的內部IP是否真的是內部的，這就允許來自外部IP的代理請求到另一個外部IP了。

　　要使用該埠模糊的DNS放大攻擊，發往裝置並被UPnP裝置在UDP/1337埠接收的DNS請求，需透過目的埠UDP/53被代理至DNS解析器。解析器透過源埠UDP/53響應裝置，而裝置在將源埠改回UDP/1337後再將該DNS響應轉發回原始請求者。

▲源埠模糊的DNS放大攻擊

　　真實攻擊場景中，初始DNS請求會從被假冒的受害者IP發出，也就是說對該請求的響應也會返回給該受害者。

　　該裝置可用於以能規避檢測的埠發起DNS放大DDoS攻擊，因為攻擊載荷源於非常規的源埠，透過檢視源埠資料檢測放大攻擊載荷的常見防禦措施就會被繞過。該繞過檢測的方法也能用於SSDP和NTP(網路時鐘協議)攻擊，且能與其他放大攻擊方法聯合使用，比如Memcached。

　　源IP和埠資訊不再成為可靠的過濾因素，執行深度包檢測(DPI)是最有可能的放大攻擊載荷發現方法，但這是資源密集型過程，如果沒有專門的緩解裝置支援，執行速度會很慢。