0x00概述

全球DDoS網(wǎng)絡攻擊次數(shù)不斷增長，反射攻擊次數(shù)也是逐年上升，筆者在之前撰寫的文章《史上最大DDoS攻擊"之爭"》中提到的幾次”最大”攻擊，都是以CLDAP為主的反射攻擊。
除了CLDAP反射攻擊外，SSDP、NTP等反射攻擊也是歷年來最為流行的攻擊類型，最近幾年不斷有新的攻擊類型被發(fā)現(xiàn)，行業(yè)內(nèi)監(jiān)測到的反射類型有50多種，其中智云盾團隊針對其中12種做了首次技術(shù)分析和攻擊預警。

0x01反射攻擊態(tài)勢

DDoS攻擊峰值和攻擊頻率不斷增高，反射攻擊的占比從2017年的21%，增長到2021年接近50%，下圖展示了DDoS攻擊次數(shù)與反射攻擊增長的趨勢。

圖1 DDoS攻擊與反射攻擊趨勢（數(shù)據(jù)來源：百度安全年報）

統(tǒng)計2021上半年DDoS攻擊類型占比，udp反射攻擊擁有高達38.85%的占比，相較于2020年同期上升明顯。

圖2 2021上半年攻擊類型占比

統(tǒng)計反射攻擊類型TOP6的數(shù)據(jù)，SSDP、NTP、SNMP、Memcache、DNS和CLDAP是最為活躍的反射攻擊。

圖3 2021上半年反射型攻擊TOP6

其中CLDAP是近年來較火的攻擊類型，業(yè)內(nèi)披露的多次T級以上的超大攻擊，都有CLDAP攻擊的參與，CLDAP協(xié)議廣泛應用于Windows服務器的活動目錄服務（AD），反射放大倍數(shù)超過70倍。

0x02反射攻擊原理

原理如下圖所示：

圖4 反射攻擊原理示意圖

圖中攻擊者Attacker偽造了請求包Pva發(fā)送到反射服務器Amplifiers（簡稱A），但Pva的源IP是受害者Victim（簡稱V），所以A響應的時候發(fā)送Pav給到V，Pav往往是Pva的好幾倍，甚至是成千上萬倍。
反射攻擊一方面隱藏了黑客IP，同時還有一個重要特征是放大攻擊流量。
1）隱藏黑客IP
黑客實施攻擊時，不是直接攻擊受害者IP，而是偽造受害者IP的大量請求發(fā)給相應的開放服務，相應服務將大量的惡意流量發(fā)送給受害者，這樣就產(chǎn)生的隱藏了發(fā)送者真實身份的效果。
有一種情況是國內(nèi)三大運營商的邊緣網(wǎng)絡或路由器會檢查源IP，對不是同一網(wǎng)絡的IP出向包進行丟棄。
針對這種情況，黑客會在使用相應手段儲備攻擊資源，下圖展示了BillGates木馬收集的過程。

圖5 BillGates木馬

上圖中序號19、20兩個包中紅色打碼的是BillGates木馬用真實IP收發(fā)心跳包，序號21和22是木馬偽造不同的IP段發(fā)包，payload中記錄了真實IP。木馬收到請求包后根據(jù)payload是否包含真實IP來確定哪些IP段可以用于偽造。
BiillGates木馬通過收發(fā)心跳包來確定哪些IP段是可以將偽造的請求順利通過邊緣網(wǎng)絡或路由器發(fā)到主控端。

2）放大攻擊流量
反射攻擊流行的另一個重要原因是反射服務帶有放大效果，這些服務使用的協(xié)議通常不對來源請求進行安全性校驗，直接響應數(shù)倍乃至數(shù)萬倍于請求的數(shù)據(jù)包，例如我們熟知的Memcache反射攻擊，最大的放大倍數(shù)可達十幾萬倍。
很多知名的服務都可以用作反射攻擊，如：NTP、SNMP，行業(yè)內(nèi)監(jiān)測到的50多種攻擊類型中就有21種利用了物聯(lián)網(wǎng)協(xié)議，7種游戲協(xié)議，16種網(wǎng)絡服務以及6種私有協(xié)議，這些反射攻擊的放大倍數(shù)少則幾倍，多則高達十幾萬倍，這些反射攻擊的放大倍數(shù)少則幾倍，多則高達十幾萬倍，甚至payload為空的的情況下，也能響應超量數(shù)據(jù)包。

0x03攻防對抗

我們在長期與DDoS黑客”打交道”中，提煉出一套高效準確的研究識別方法，該方法包括兩個方面：

1）監(jiān)測防御系統(tǒng)
智云盾在全球部署了大量節(jié)點，包含一些蜜罐節(jié)點，可以有機會觀測到反射攻擊的全過程。

圖6 新型反射攻擊發(fā)現(xiàn)

當黑客偽造的反射請求對監(jiān)控系統(tǒng)進行攻擊時，監(jiān)測節(jié)點實時上報攻擊事件到威脅中心，向全網(wǎng)節(jié)點下發(fā)采集被攻擊IP地址的指令，深度包分析程序根據(jù)IP對應關(guān)系提取黑客使用新型反射攻擊的請求指令。
使用這種方法，我們識別了多個新型反射攻擊類型，如CoAP、PMDP等反射攻擊，但是由于資源有限，仍然有許多新型類型難以識別。于是我們提出了基于協(xié)議模板fuzz的反射源攻擊手法自動化探測方法。

2）基于協(xié)議模板fuzz的反射源攻擊手法自動化探測方法
使用RFC協(xié)議庫，構(gòu)建協(xié)議模板庫，通過fuzz算法生成大量的反射請求數(shù)據(jù)包。對于捕獲到大量響應包的反射攻擊，通過協(xié)議模板庫，fuzz識別協(xié)議類型，精準生成協(xié)議類型。

圖7生成反射請求包

識別協(xié)議時：

• 如果協(xié)議載荷為文本——可打印的ASCII字符，選擇簡單協(xié)議分類的模版庫進行比對，采用文本相似性算法
  如果協(xié)議載荷為復雜協(xié)議——二進制數(shù)據(jù)和偶爾包含的人可讀的ASCII字符串，選擇復雜協(xié)議的模版庫進行比對，采用二進制結(jié)構(gòu)相似性算法。

使用基于生成generation-based的fuzz技術(shù)，對生成的協(xié)議進行文本建模，基于模型生成請求數(shù)據(jù)包。這樣能夠高效的獲取新型反射攻擊的請求指令。

3）研究成果
自2018年首次發(fā)現(xiàn)IPMI反射攻擊以來，我們累計挖掘出12種新型反射放大攻擊，同時也對業(yè)內(nèi)流行的TCP反射攻擊進行過深入研究，下表展示了我們近年來在反射攻擊領(lǐng)域的研究成果。

0x04反射攻擊匯總

黑客在尋找新的攻擊方式上不再拘泥于傳統(tǒng)公共服務，而是對暴露在公網(wǎng)，并且具備一定規(guī)模的UDP服務都嘗試利用作為反射源。我們結(jié)合了自己的研究成果以及查閱多方資料，對反射攻擊類型進行了總結(jié)，結(jié)果如下表：






注：表格科學倍數(shù)數(shù)據(jù)為安全專家計算得出，部分數(shù)據(jù)結(jié)合業(yè)內(nèi)披露的信息，未查詢到相關(guān)信息的部分留白

0x05防御措施

反射攻擊都是互聯(lián)網(wǎng)上開放服務參與的，作為這些開放服務的運營者應遵循以下防御措施避免成為DDoS反射攻擊的幫兇。
能使用TCP的服務，盡量不要啟用UDP服務
必須使用UDP服務時，應啟用授權(quán)認證
使用UDP服務無法啟用授權(quán)認證時，應確保響應與請求的倍數(shù)不要大于1
增強自身應對惡意請求的能力，及時封禁惡意IP

點擊進入了解更多技術(shù)信息~~

總結(jié)

以上是生活随笔為你收集整理的DDoS攻击愈演愈烈，反射攻击举足轻重的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。