1. 更新情況

版本	時間	描述
第一版	2017/08/07	完成第一輪資料統計，輸出報告，完善文件格式
第二版	2017/08/14	完成第二輪資料統計，輸出報告，完善文件格式
第三版	2017/11/15	完成第三輪資料統計，在第二輪的基礎上增加對cldap的探測
第四版	2018/03/05	完成第四輪資料統計，在第三輪的基礎上增加對Memcached的探測

2. 概述

DDos攻擊是一種耗盡資源的網路攻擊方式，攻擊者透過大流量攻擊，有針對性的漏洞攻擊等耗盡目標主機的資源來達到拒絕服務的目的。

反射放大攻擊是一種具有巨大攻擊力的DDoS攻擊方式。 攻擊者只需要付出少量的代價，即可對需要攻擊的目標產生巨大的流量，對網路頻寬資源（網路層）、連線資源（傳輸層）和計算機資源（應用層）造成巨大的壓力。 2016年10月美國Dyn公司的DNS伺服器遭受DDoS攻擊，導致美國大範圍斷網。事後的攻擊流量分析顯示，DNS反射放大攻擊與SYN洪水攻擊是作為本次造成美國斷網的拒絕服務攻擊的主力。由於反射放大攻擊危害大，成本低，溯源難，被黑色產業從業者所喜愛。

在2017年8月3日到2017年8月6日期間ZoomEye網路空間探測引擎對全網進行第一輪的探測，統計可被利用進行DDoS反射放大攻擊的主機數，釋出了《DDoS反射放大攻擊全球探測分析-第一版》，之後在2017年8月11日到2017年8月13日期間ZoomEye網路空間探測引擎再次對全網進行了探測，釋出了《DDoS反射放大攻擊全球探測分析-第二版》。之後在2017年11月13日到2017年11月15日期間，ZoomEye網路空間探測引擎探測到了另一個活動頻繁的攻擊——CLDAP DDoS反射放大攻擊，隨後對DDoS反射放大攻擊進行了第三輪的探測，釋出了《DDoS反射放大攻擊全球探測分析-第三版》。

隨後在2018年3月1日， ZoomEye又探測到在網路空間中頻繁活動 Memcached DRDoS ，進行第四輪對DDoS反射放大攻擊的探測。

3. 第四輪放大攻擊資料分析

[注：下面資料統計均基於第四輪 2018/03/05]

第四輪探測，ZoomEye網路空間探測引擎在對前面兩輪6種DDoS攻擊的探測的基礎上， 增加了對Memcached攻擊的探測。

3.1.CHARGEN

透過ZoomEye網路空間探測引擎獲取到9萬(95,010)臺主機開放了19埠。然後對這9萬主機進行放大倍率的探測，實際上只有1萬(10,122)臺主機開啟了19點埠，佔總數的10.65%。在開啟了19埠的主機中，有6千(6,485)臺主機的放大倍數能夠達到10倍以上，佔總數的64.07%，剩下的主機的放大倍數主要集中在2倍。相關資料如圖3.1-1所示：

對放大倍數達到10以上的主機流量進行統計，我們總共傳送了870KB(891,693 byte)的請求流量，得到了71M(74,497,401 byte)響應流量，產生了83倍的放大流量。假設一臺主機1分鐘內可以成功響應100個請求資料包，計算得到攻擊流量有947Mbits/s。本輪探測對最大放大倍數進行了統計，得到了Chargen協議單次請求響應最高能放大319倍流量。

上面的資料和之前兩次的的資料進行比較，Chargen DDoS攻擊的危害並沒有減小，反而有增大的趨勢。

根據ZoomEye網路空間探測引擎的探測結果，對可利用的Chargen主機進行全球分佈統計，見圖3.1-2：

3.1-2 Chargen協議19埠可利用主機全球分佈圖

從圖中可以看出仍然是韓國具有最多數量的可被利用進行DDos反射放大攻擊的主機，我國排在第二。下面，對我國各省份的情況進行統計，如圖3.1-3所示：

3-1.3 Chargen協議19埠可利用主機全國分佈圖

3.2.NTP

透過ZoomEye網路空間探測引擎獲取到14萬(147,526)臺開啟了UDP 123埠的主機。利用這些資料進行放大倍率探測，實際上只有1千(1,723)臺主機開啟了UDP 123埠，佔總數的1.17%，放大倍數大於10的主機只有4臺，佔有響應主機總數的0.23%，具體數量見圖3.2-1所示：

和上一次探測的結果相比，利用NTP進行反射DDoS攻擊的隱患基本消除，不管是NTP伺服器的總量還是可被利用伺服器數量，都大幅度下降，尤其是本次探測中，只發現4臺可被利用的NTP伺服器，而且這4臺皆位於日本。我國未被探測到可被利用的NTP伺服器。

3.3.DNS

透過Zoomeye網路空間探測引擎獲取到2千萬(21,261,177)臺UDP 53埠相關的主機，對這些主機進行放大倍率探測，實際上只有384萬(3,847,687)臺主機開啟了53埠，佔了掃描總數的18.1%。在開啟了53埠的主機中，有3萬(31,999)臺主機放大倍數在10倍以上，只佔總數的0.83%，而放大倍數為1的主機有277萬(2,776,027)臺，具體資料見圖3.3-1：

和上一版的資料相比，網際網路上DNS伺服器的和可被利用的DNS伺服器數量均處於下降狀態。

下面，再來看看這3萬臺放大倍數大於10的主機全球分佈情況，如圖3.3-2所示，可以看到，和上一輪相比，數量排名沒啥變化，仍然是美國排在第一位。我們又對可利用主機在我國的分佈情況進行了統計，如圖3.3-3所示，和上一輪相比，湖北省的DNS伺服器數量有了明顯的提高。

3.3-2 DNS協議53埠可利用主機全球分佈圖

3.3-3 DNS協議53埠可利用主機全國分佈圖

3.4.SNMP

透過Zoomeye網路空間探測引擎獲取到1千萬(11,681,422)臺UDP 161埠相關的主機，對這些主機進行放大倍率探測，實際上有167萬(1,677,616)臺主機開啟了161埠，佔了掃描總數的14.36%。在開啟了161埠的主機中，有61萬(617,980)臺主機放大倍數在10倍以上，佔了總數的36.84%，具體資料見圖3.4-1：

本次探測得到的資料和前一輪的資料相比較，探測到的SNMP主機數增加，而可利用的主機數卻呈下降狀態。

下面，再來看看這61萬臺放大倍數大於10的主機全球分佈情況，如圖3.4-2所示，可以看到，我國的主機量上升到了第二位。我們又對可利用主機在我國的分佈情況進行了統計，如圖3.4-3所示，臺灣，北京，黑龍江仍然是受影響最深的幾個省份之一。

3.4-2 SNMP協議161埠可利用主機全球分佈圖

3.4-3 SNMP協議161埠可利用主機全國分佈圖

3.5.SSDP

透過Zoomeye網路空間探測引擎獲取到3千萬(32,522,480)臺UDP 1900埠相關的主機，對這些主機進行放大倍率探測，實際上有60萬(609,014)臺主機開啟了1900埠，佔了掃描總數的1.87%。在開啟了1900埠的主機中，有57萬(572,936)臺主機放大倍數在10倍以上，佔了總數的94.08%，具體資料見圖3.5-1：

下面，再來看看這57萬臺放大倍數大於10的主機全球分佈情況，如圖3.5-2所示，和上一輪探測的資料相比，沒有明顯的變化。再對我國的資料進行統計，如圖3.5-3所示，臺灣仍是我國可被利用的主機數最多的省份，遠遠超過我國的其他省份。

3.5-2 SSDP協議1900埠可利用主機全球分佈圖

3.5-3 SSDP協議1900埠可利用主機全國分佈圖

3.6.CLDAP

透過Zoomeye網路空間探測引擎獲取到40萬(403,855)臺UDP 389埠相關的主機，對這些主機進行放大倍率探測，實際上有1萬(17,725)臺主機開啟了389埠，佔了掃描總數的4.39%。在開啟了389埠的主機中，有1萬(17,645)臺主機放大倍數在10倍以上，佔了總數的99.55%，具體資料見圖3.6-1：

下面，再來看看這2萬臺放大倍數大於10的主機全球分佈情況，如圖3.5-2所示，可以看到，美國仍然是可被利用的CLDAP伺服器數量最多的國家，我國依舊排第三位。我們又對可利用主機在我國的分佈情況進行了統計，如圖3.5-3所示，臺灣依然是我國可被利用的主機數最多的省份，和香港一起遠遠超過我國的其他省份地區。

3.6-2 LDAP協議389埠可利用主機全球分佈圖

3.6-3 LDAP協議389埠可利用主機全國分佈圖

3.7.Memcached

Memcached是一個自由開源的，高效能，分散式記憶體物件快取系統。Memcached是以LiveJournal旗下Danga Interactive公司的Brad Fitzpatric為首開發的一款軟體。現在已成為mixi、hatena、Facebook、Vox、LiveJournal等眾多服務中提高Web應用擴充套件性的重要因素。

Memcached是一種基於記憶體的key-value儲存，用來儲存小塊的任意資料（字串、物件）。這些資料可以是資料庫呼叫、API呼叫或者是頁面渲染的結果。Memcached簡潔而強大。它的簡潔設計便於快速開發，減輕開發難度，解決了大資料量快取的很多問題。它的API相容大部分流行的開發語言。本質上，它是一個簡潔的key-value儲存系統。一般的使用目的是，透過快取資料庫查詢結果，減少資料庫訪問次數，以提高動態Web應用的速度、提高可擴充套件性。

Memcached Server在預設情況下同時開啟了TCP/UDP 11211埠，並且無需認證既可使用Memcached的儲存服務。2018年3月2日，ZoomEye對全網開啟了UDP 11211埠，並且無需認證的Memcached進行探測，共得到14142個目標，並對這些目標進行全球分佈統計，如圖3.7-1所示：

3.7-1 Memcached可被利用主機全球分佈圖

從上圖中可以明顯的看出我國對安全問題的重視程度和國外仍然有較大的差距。在14142個有效目標中，有11368個目標的IP地址位於我國。下面再對我國的目標進行全國分佈統計，如圖3.7-2所示：

3.7-2 Memcached可被利用主機全國分佈圖

Memcached未開啟認證的情況下，任何人都可以訪問Memcached伺服器，儲存鍵值對，然後可以透過key來獲取value。所以，我們能在Memcached儲存一個key為1byte的，value為1kb的資料，然後我們再透過該key獲取到value，這樣就產生了將近1000倍的放大效果。Memcached在預設情況下還會開啟UDP埠，所以這就導致了Memcached可以被利用來進行DDoS放射放大攻擊。而Memcached能放大多少倍取決於：

Memcached伺服器頻寬
Memcached能儲存的值的最大長度

利用自己的伺服器進行一個測試，首先讓能利用的Memcached儲存一個1kb長度的值，然後同時向所有目標獲取值，能收到886Mbit/s的流量，如圖3.7-3所示：

3.7-3 流量統計圖

4. 總結

和前面三輪探測的資料相比，在第四輪的探測中，變化最大的是NTP服務，當前網際網路的NTP伺服器已經沒辦法造成大流量的DDoS反射放大攻擊了。與之相比，其他協議也或多或少的降低了可被利用的主機數量。 DDoS反射放大攻擊仍然危害巨大，DDoS防禦仍然刻不容緩。

從這次ZoomEye探測到的資料中，再和公網上的Memcached服務進行對比：

4-4 ZoomEye探測11211埠數量

在ZoomEye的資料庫中，開啟11211埠的目標有54萬，其中美國有23萬，中國有13萬的目標，但是開啟了UDP 11211埠的資料中，總量只有14142，其中美國有1070的目標，中國有11368個目標主機。

從這些資料對比中，可以看出美國對此類的安全事件有非常快的響應速度，中國和美國的差距還很大。

從放大效果來看，雖然可利用的目標已經縮減到1萬的量級，但是仍然能造成大流量的DDos攻擊。

對於Memcached的使用者，我們建議關閉其UDP埠，並且啟用SASL 認證，對於運營商，建議在路由器上增加的uRPF(Unicast Reverse Path Forwarding)機制，該機制是一種單播反向路由查詢技術，用於防止基於源地址欺騙的網路攻擊行為，利用該機制能使得UDP反射攻擊失效。

5. 參考連結

1.Stupidly Simple DDoS Protocol (SSDP) generates 100 Gbps DDoS.
https://blog.cloudflare.com/ssdp-100gbps/
2.基於SNMP的反射攻擊的理論及其實現.

3.基於Memcached分散式系統DRDoS拒絕服務攻擊技術研究.

4.ZoomEye Chargen dork.
%3A19
5.ZoomEye NTP dork.
%3A123
6.ZoomEye DNS dork.
%3A53
7.ZoomEye SNMP dork.
%3A161
8.ZoomEye LDAP dork.
%3A389
9.ZoomEye SSDP dork.
%3A1900
10.ZoomEye Memcached dork.
%3A11211

ZoomEye專題報告 | DDoS 反射放大攻擊全球探測分析