DDOS攻击之DNS放大攻击
此DDoS攻击是基于反射的体积分布式拒绝服务(DDoS)攻击,其中攻击者利用开放式DNS解析器的功能,以便使用更大量的流量压倒目标 服务器 或网络,从而呈现服务器和它周围的基础设施无法进入。
所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异。当在许多请求中放大成本差异时,由此产生的流量可能会破坏网络基础设施。通过发送导致大量响应的小查询,恶意用户可以从更少的内容获得更多。由具有在每个机器人这个倍数乘以僵尸网络进行类似的请求,攻击者是从检测既混淆和收获大大提高了攻击流量的好处。
DNS放大攻击中的一个机器人可以被认为是一个恶意的少年打电话给餐馆并说“我将拥有一切,请给我回电话并告诉我整个订单。”当餐厅要求时一个回叫号码,给出的号码是目标受害者的电话号码。然后,目标接收来自餐馆的电话,其中包含许多他们未请求的信息。
由于每个机器人都要求使用欺骗性IP地址打开DNS解析器,该IP地址已更改为目标受害者的真实源IP地址,然后目标会从DNS解析器接收响应。为了创建大量流量,攻击者以尽可能从DNS解析器生成响应的方式构造请求。结果,目标接收到攻击者初始流量的放大,并且他们的网络被虚假流量阻塞,导致拒绝服务。
攻击者使用受损端点将带有欺骗性IP地址的UDP数据包发送到DNS recursor。数据包上的欺骗地址指向受害者的真实IP地址。
每个UDP数据包都向DNS解析器发出请求,通常会传递诸如“ANY”之类的参数,以便接收可能的最大响应。
在收到请求后,尝试通过响应提供帮助的DNS解析器会向欺骗的IP地址发送大量响应。
目标的IP地址接收响应,周围的网络基础设施因流量泛滥而变得 不堪重负 ,导致拒绝服务。
虽然一些请求不足以取消网络基础设施,但当此序列在多个请求和DNS解析器之间成倍增加时,目标接收的数据放大可能很大。探索有关反射攻击的更多技术细节。
对于运营网站或服务的个人或公司,缓解选项是有限的。这是因为个人的服务器虽然可能是目标,但却不会感受到体积攻击的主要影响。由于产生了大量流量,服务器周围的基础设施会产生影响。Internet服务提供商(ISP)或其他上游基础架构提供商可能无法处理传入流量而不会变得不堪重负。因此,ISP可能将所有流量黑洞到目标受害者的IP地址,保护自己并使目标站点脱机。除Cloudflare DDoS保护等非现场保护服务外,缓解策略主要是预防性互联网基础设施解决方案。
DNS放大攻击的一个重要组成部分是访问开放式DNS解析器。通过将配置不当的DNS解析器暴露给Internet,攻击者需要做的就是利用DNS解析器来发现它。理想情况下,DNS解析器应仅向源自受信任域的设备提供其服务。在基于反射的攻击的情况下,开放的DNS解析器将响应来自Internet上任何地方的查询,从而允许利用漏洞。限制DNS解析器以使其仅响应来自可信源的查询使得服务器成为任何类型的放大攻击的不良工具。
由于攻击者僵尸网络发送的UDP请求必须具有欺骗受害者IP地址的源IP地址,因此降低基于UDP的放大攻击有效性的关键组件是Internet服务提供商(ISP)拒绝任何内部流量欺骗的IP地址。如果从网络内部发送一个数据包,其源地址使其看起来像是在网络外部发起的,那么它可能是一个欺骗性数据包,可以被丢弃。Cloudflare强烈建议所有提供商实施入口过滤,有时会联系那些 不知不觉 地参与DDoS攻击并帮助他们实现漏洞的ISP。
论DNS是如何放大攻击?
DDoS攻击是基于反射的体积分布式拒绝服务攻击,攻击者利用开放式DNS解析器的功能,便于使用更大量的流量压倒目标服务器或网络,从而呈现服务器和它周围的基础设施无法进入。
那么DNS是如何放大攻击工作的呢?
其实所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异。比如当在许多请求中放大成本差异时,就会由此产生的流量可能会破坏网络基础设施。所以通过发送导致大量响应的小查询,恶意用户可以从更少的内容获得更多。由具有在每个机器人这个倍数乘以僵尸网络进行类似的请求,攻击者就是从检测既混淆和收获提高了攻击流量的好处。
这些机器人可以比喻成一个恶意的人打电话给餐馆并说“我将拥有一切,请给我回电话并告诉我整个订单。”当餐厅给出的号码是目标受害者的电话号码,目标就能迅速接收来自餐馆的电话,其中包含许多他们未请求的信息。
每个机器人都会要求使用欺骗性IP地址打开DNS解析器,那么该IP地址已更改为目标受害者的真实源IP地址,目标会从DNS解析器接收响应。为了创建大量流量,攻击者会从DNS解析器生成响应的方式构造请求。结果,目标接收到攻击者初始流量的放大,并且他们的网络被虚假流量阻塞,导致拒绝服务。
DNS放大有四个步骤:
那么问题来了怎样去减轻DNS放大攻击呢?
对于运营网站或服务的个人或公司来说,缓解选项是有限的。个人的服务器虽然可能是目标,但是不会感受到体积攻击的主要影响。一般产生了大量的流量,服务器周围的基础设施会产生影响。ISP或者其他上游基础架构提供商就无法处理传入流量而不会变得不堪重负。ISP可能将所有流量黑洞到目标受害者的IP地址,保护自己并使目标站点脱机。
源IP验证 - 停止欺骗数据包离开网络
攻击者僵尸网络发送的UDP请求必须具有欺骗受害者IP地址的源IP地址,所以一般会降低基于UDP的放大攻击有效性的关键组件是Internet服务提供商拒绝任何内部流量欺骗的IP地址。从网络内部发送一个数据包,其源地址使其看起来像是在网络外部发起的,那么它可能是一个欺骗性数据包,这种可以被丢弃。
其实通过正确配置的防火墙和足够的网络容量阻止DNS放大攻击等反射攻击是微不足道的。但是我们的DDos能提供全面的(DDos)攻击防护,缓存加速,隐藏源站,能帮您减轻这些攻击。
DDOS攻击包括哪些
1、TCP洪水攻击(SYN Flood)
TCP洪水攻击是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷;
发送大量伪造的TCP连接请求,常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包),被攻击服务器回应第二个握手包(SYN+ACK包),因为对方是假冒IP,对方永远收不到包且不会回应第三个握手包。
导致被攻击服务器保持大量SYN_RECV状态的“半连接”,并且会重试默认5次回应第二个握手包,塞满TCP等待连接队列,资源耗尽(CPU满负荷或内存不足),让正常的业务请求连接不进来。
2、反射性攻击(DrDoS)
反射型的 DDoS 攻击是一种新的变种,与DoS、DDoS不同,该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机,然后攻击主机对IP地址源做出大量回应,形成拒绝服务攻击。
黑客往往会选择那些响应包远大于请求包的服务来利用,这样才可以以较小的流量换取更大的流量,获得几倍甚至几十倍的放大效果,从而四两拨千斤。一般来说,可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SSDP服务、Chargen服务、Memcached等。
3、CC攻击(HTTP Flood)
HTTP Flood又称CC攻击,是针对Web服务在第七层协议发起的攻击。通过向Web服务器发送大量HTTP请求来模仿网站访问者以耗尽其资源。虽然其中一些攻击具有可用于识别和阻止它们的模式,但是无法轻易识别的HTTP洪水。它的巨大危害性主要表现在三个方面:发起方便、过滤困难、影响深远。
4、直接僵尸网络攻击
僵尸网络就是我们俗称的“肉鸡”,现在“肉鸡”不再局限于传统PC,越来越多的智能物联网设备进入市场,且安全性远低于PC,这让攻击者更容易获得大量“肉鸡”;
也更容易直接发起僵尸网络攻击。根据僵尸网络的不同类型,攻击者可以使用它来执行各种不同的攻击,不仅仅是网站,还包括游戏服务器和任何其他服务。
5、DOS攻击利用一些服务器程序的bug、安全漏洞、和架构性缺陷攻击
然后通过构造畸形请求发送给服务器,服务器因不能判断处理恶意请求而瘫痪,造成拒绝服务。以上就是墨者安全认为现阶段出现过的DDOS攻击种类,当然也有可能不是那么全面,DDOS攻击的种类复杂而且也不断的在衍变,目前的防御也是随着攻击方式再增强。
Memcache UDP 反射放大攻击技术分析
本篇技术blog,由360信息安全部0kee Team、360网络安全研究院、360-CERT共同发布。
Memcache UDP 反射放大攻击(以下简称 Memcache DRDoS)在最近的一周里吸引了安全社区的较多注意。以下介绍我们对该类型攻击观察到的情况。
在PoC 2017 会议上的原始报告
Memcache DRDoS,由360信息安全部0kee Team在2017-06 附近首先发现,并于 2017-11 在 PoC 2017 会议上做了公开报告。会议报告在 这里 ,其中详细介绍了攻击的原理和潜在危害。
在这份文档中,作者指出这种攻击的特点:
memcache 放大倍数超高,至少可以超过50k;
memcache 服务器(案例中的反射点)数量较多,2017-11时估算全球约有 60k 服务器可以被利用,并且这些服务器往往拥有较高的带宽资源。
基于以上特点,作者认为该攻击方式可以被利用来发起大规模的DDoS攻击,某些小型攻击团队也可能因此获得原先没有的大流量攻击能力。
在 DDoSMon 上观察到的现网趋势
自批露以来,我们就一直利用 DDoSMon 的统计页面 持续监控Memcache DRDoS在实际现网中的情况。在过去的几个月中,这种类型攻击的频率和单次破坏性都不大,但是自2018-02-24开始,这种情况发生了较大变化。
近期,Memcache DRDoS 的攻击频率上升到了平时的10+倍,从每天小于50件,上升到每天300~400件,直到今天的1484件(实际上,离今天结束还有1个小时),如下图所示。
需要指出,当前 Memcache DRDoS 仍然还不是DDoS的主流。即使在反射类DDoS中,也只占 1% 以下(按攻击事件计),排在 DNS、CLDAP、NTP、SSDP、CharGen、L2TP、BitTorrent、Portmap、SNMP的后面。
我们在现网中对 Memcache DRDoS 攻击方式的测试结果
我们对现网实际环境做了测试,结合分析我们捕获的实际攻击载荷,有以下内容值得关注:
这种反射攻击的放大比率,在理想的测试环境中,可以稳定的测得 1k~60k之间的放大倍数;
在现网实际环境中, 60k 的放大倍数,也是可以稳定的测得的;
上述实测结果,与最初报告者0kee team的估计、 US-CERT安全通告 中的提法,基本是一致的;
此外我们分析了现网实际发生的攻击负载。到目前为止,部分负载的构造是有问题,可能会导致memcache服务崩溃,并不能稳定的打出最大放大倍数。但是这里涉及的技术改进并不困难,攻击者容易做出响应调整。
另外,我们对将放大倍数调整到 60k 以上做了一些初步分析。我们怀疑这个比例是可以继续显著提高的,但具体技术细节不会在这里讨论。
当前已知 Memcache DRDoS 攻击的案例
2月27日,Qrator Labs 在 medium.com 上 批露 了一次DDoS攻击。按照文章的说法,这次攻击确信就是 UDP 11211 端口上的 memcache DRDoS,攻击流量峰值达到 480Gbps。
除了这个案例以外,我们确认有更大的攻击已经实际发生,但并未被公开报道。
当前已知各国运营商、安全社区的应对措施
目前已经有多个相关安全通告,部分列出如下:
通告类:多个主要设备厂商、安全厂商、CERT已经发布通告,例如 CloudFlare 、 Qrator Labs 、 Arbor Networks 、 US-CERT ,等等
预防和防御类:包括 NTT 在内的多个ISP 已经对 UDP 11211 采取限速措施。
应对建议方面,ISP、网络管理员、企业用户可以从很多渠道获得应对建议,例如 这里 。我们建议:
各运营商 ISP、云服务厂商,考虑在自己的网络内对UDP 11211 采取限速措施
各开发者和 memcache 管理者,考虑自查 memcache 设定ACL
总体而言,一方面,我们开始担忧1Tbps以上的DDoS攻击案例今后会比较频繁的出现,DDoS攻击开始从 G 时代进入 T 时代(Gbps vs Tbps);另一方面,我们必须指出至少在当前 Memcache DRDoS 还不是DDoS 攻击的主流,比例还在 1% 以下(按次数统计)。
来自: netlab
反射型DDOS(常见的放大攻击)
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。僵尸网络也会控制一大批肉鸡进行DDOS攻击,在暗网上可以买到很大的攻击流量,破坏受害者的正常服务,这些都比较常见了。但是还存在一种比较特殊的Dos攻击,这种攻击的成本很低,不需要肉鸡,只需要利用某些正常服务,就可以给受害者返回海量的数据,对正常业务造成很大的影响,这就是反射型DDOS(放大攻击)。威胁情报划分此类攻击比较有争议,这些IP上运行的是正常的服务,可以他们又被攻击者恶意利用,给受害者的服务的稳定性带来挑战,360威胁情报针对此类的IP有标签 NTP/DNS 。
阅读文章
DNS放大
NTP放大
攻击者向端口11211 上的 Memcache 服务器发送小字节请求。由于 UDP 协议并未正确执行,因此 Memcache 服务器并未以类似或更小的包予以响应,而是以有时候比原始请求大数千倍的包予以响应。由于 UDP 协议即包的原始 IP 地址能轻易遭欺骗,也就是说攻击者能诱骗 Memcache 服务器将过大规模的响应包发送给另外一个 IP 地址即 DDoS 攻击的受害者的 IP 地址。这种类型的 DDoS 攻击被称为“反射型 DDoS”或“反射 DDoS”。响应数据包被放大的倍数被称为 DDoS 攻击的“放大系数”。Memcache协议的放大倍数可达5w倍。
阅读文章
Memcache放大
网络拒绝服务: 反射放大
1、更改默认端口,链接外网时不要所有IP可以连接,可以添加防火墙策略。
2、Memcache新版本支持SASL认证
参考链接:
[1] DNS反射攻击解决方案
[2] 实验链接
基于udp的放大攻击
一、系统的影响
某些依赖于用户数据报协议(User Datagram Protocol, UDP)的应用层协议已被识别为潜在的攻击载体。这些包括:
域名系统,
网络时间协议(NTP)
无连接轻量级目录访问协议(CLDAP),
字符生成协议(CharGEN)
简单服务发现协议,
BitTorrent,
简单网络管理协议版本2 (SNMPv2)
Kad,
端口映射/远程过程调用(RPC),
Quote of the Day(QOTD)
多播域名系统(mDNS),
网络基本输入输出系统(NetBIOS)
Quake 网络协议,
流协议,
路由信息协议版本1 (RIPv1)
轻量级目录访问协议(LDAP),
简单文件传输协议(TFTP)和
Memcached,
以及Web服务动态发现(WS-Discovery)。
二、概述
分布式反射拒绝服务(DRDoS)是分布式拒绝服务(DDoS)攻击的一种形式,它依赖于可公开访问的UDP服务器和带宽放大因子(BAFs),以UDP流量淹没受害者的系统。
三、描述
根据设计,UDP是一个不验证源互联网协议(IP)地址的无连接协议。除非应用层协议使用对策,如在互联网语音协议中会话发起,否则攻击者可以很容易地伪造IP包数据报(与包交换网络相关联的基本传输单元)以包括任意源IP地址。当许多UDP数据包的源IP地址被伪造成受害者IP地址时,目标服务器(或放大器)会响应受害者(而不是攻击者),从而产生反射拒绝服务(DoS)攻击。
UDP协议的某些命令会引发比初始请求大得多的响应。以前,攻击者受到直接发送到目标的数据包的线性数量的限制而进行DoS攻击;现在一个包可以产生10到100倍的原始带宽。这被称为放大攻击,当与大规模的反射式DoS攻击结合使用多个放大器并针对单一受害者时,DDoS攻击就可以相对容易地进行。
放大攻击的潜在效果可以通过BAF来衡量,BAF可以计算为放大器为响应请求而发送的UDP有效载荷字节数与请求的UDP有效载荷字节数的比较。
下面是已知协议及其相关的BAFs的列表。CISA感谢Christian Rossow提供了这些信息。更多关于BAFs的信息,请看Christian的博客以及相关的研究成果。
2015年3月,软件工程学会CERT协调中心发布了漏洞说明VU#550620,描述了mDNS在DRDoS攻击中的使用。攻击者可以通过发送比设备能处理的更多的信息来利用mDNS,从而导致DoS状态。
2015年7月,Akamai技术公司的Prolexic安全工程和研究团队(PLXsert)发布了一份威胁报告,称使用RIPv1的DRDoS攻击激增。恶意参与者通过特别设计的请求查询利用RIPv1的行为进行DDoS反射。
2015年8月,3级威胁研究实验室报告了一种使用portmap的新型DRDoS攻击。攻击者利用portmap服务的行为,通过欺骗请求向受害者的网络发送UDP流量。
2016年10月,Corero Network Security报告了一场新的DDoS扩增攻击,利用LDAP目录服务服务器攻击其客户。
2017年11月,Netlab 360报告称,CLDAP目前是第三大最常见的DRDoS攻击,仅次于DNS和NTP攻击。
2018年2月,SENKI报告了基于memcached的反射DDoS攻击(通过UDP/TCP端口11211)的增加,并达到了前所未有的放大系数。
在2019年9月,Akamai报告了利用WS-Discovery协议(通过TCP/UDP端口3702)的DDoS攻击。
四、影响
攻击者可以利用此警报中提供UDP协议的大型服务器的带宽和相对信任,向受害者提供不需要的流量并创建DDoS攻击。
五、解决方案
检测
检测DRDoS攻击并不容易,因为它们使用了提供UDP服务的大型可信服务器。这些可利用服务的网络运营商可以应用传统的DoS缓解技术。要检测DRDoS攻击,请注意对特定IP地址的非正常大响应,这可能表明攻击者正在使用该服务。
DRDoS攻击的受害者可以做一些事情来检测这种活动并作出反应:
1、检测和警报大UDP数据包到更高的命令端口。
2、检测和警告任何非状态UDP数据包。(下面是一个简单的Snort示例。这种方法需要针对每个带有白名单和已知服务的环境进行定制。
3、上游供应商应更新与下游客户的联系方式和方法,通过网络发送警报。
一般而言,互联网服务供应商(ISPs)的网络和服务器管理员应采用以下最佳做法,以避免成为放大器节点:
1、使用网络流检测欺骗包。(请参阅下面的缓解部分,了解在阻止欺骗流量之前验证该流量的信息。)
2、使用网络流或其他总结的网络数据来监视对有风险的UDP服务的异常数量的请求。
3、使用网络流量检测服务异常(例如,每包字节数和每秒数据包异常)。
缓解
以下步骤可以帮助减轻DRDoS攻击:
1、使用有状态UDP检查(如反射访问控制列表)来减少对边界防火墙或边界路由器上的关键服务的影响。[13]
2、使用边界网关协议(BGP)来创建一个远程触发的黑洞,最好与上游提供商或isp合作。[14]
3、维护主要上游供应商紧急联系人列表,以协调对攻击的响应。上游供应商应与下游客户协调开展缓解措施。
一般来说,ISP网络和服务器管理员应该使用以下最佳实践来避免成为放大器节点:
1、定期更新软件和配置以拒绝或限制滥用(例如,DNS响应率限制)。[15] [16] [17]
2、禁用和移除不需要的服务,或拒绝通过internet访问本地服务。
3、使用udp的协议,如:流量和路由设备上的服务质量(QoS)——以支持基于网络的速率——限制在互联网上提供的合法服务。
4、与客户供应商和制造商合作,确保安全配置和软件。
作为互联网服务供应商,为避免滥用互联网资源:
1、使用ingress过滤来阻止欺骗包(请参阅欺骗器项目[19]和IETF BCP 38和BCP 84指南)。
2、对UDP服务请求使用流量调整,以确保对internet资源的重复访问不会被滥用。
0条大神的评论