新睿云

> DDoS高防云服务器 > 警惕!黑客们正在测试全新的DDoS流量放大的方式

警惕!黑客们正在测试全新的DDoS流量放大的方式

作者/来源:新睿云小编 发布时间:2019-08-07

随着网络的逐渐发展,人们的安全意识也越来越强,曾经风靡全球的DDoS攻击手段也逐渐的开始有没落的趋势。小规模流量攻击已经没有太好的效果了,所以黑客们开始尝试各种手段的DDoS流量放大攻击。在现阶段采用流量放大攻击的案例已经激增到33%。而DNS和SSDP放大载体分别占攻击的17%和13.7%。

黑客采用这种新型的放大攻击固然可以用少量的“肉机”取得了明显的效果,然而从另一个角度来看,不少黑客已经“黔驴技穷”,预示着随着技术的进一步革新,这种威胁互联网安全的行为在逐渐减弱。到目前为止随着新睿云高防服务器的展开,已经能越来越有效的抵御住这种形式的攻击,想必这在未来已经不再是关注的焦点。

一般来说放大攻击需要有效的攻击源头,因此踪迹相对来说更好寻找,使得更加容易在到达服务器前被过滤掉。例如,阻止开源53端口是有效减轻DNS放大攻击的可行性办法。

PoC:UPnP端口转发往往具有潜在危机

我们对UPnP远程访问攻击的兴趣始于我们在2017年4月左右,缓解的SSDP放大攻击随着在多次连续波浪中发生的攻击中的数据采集,我们注意到一定比例的SSDP有效载荷(有时高达约12%)来自其它的源端口,而不是UDP / 1900。

DDoS1

图1:源端口为UDP / 1900的SSDP有效载荷。

DDoS2

图2:具有随机源端口的SSDP有效载荷。

我们看到的东西感到惊讶,并关注其未来的影响,我们试图找到一个解释。在排除了几个选项后,我们终于能够通过为UPnP集成的攻击方法创建PoC来重现攻击,该方法可用于混淆任何类型的放大有效载荷的源端口信息。

以下是针对DNS放大攻击执行的PoC的详细信息。

步骤1:找到打开的UPnP路由器

这可以通过多种方式完成,从使用SSDP请求运行大规模扫描到仅使用Shodan搜索引擎查找此类设备上常见的“rootDesc.xml”文件。

在下面的屏幕截图中,您可以看到运行此查询产生了超过130万条结果。虽然并非所有这些设备都必然是易受攻击的,但找到可利用的设备仍然非常容易,尤其是如果一个坏的演员使用脚本来自动化该过程。

DDoS3

图3:通过Shodan搜索定位可利用的UPnP网关设备

第2步:访问设备XML文件

找到设备后,下一步是通过HTTP访问文件。仍然使用Shodan作为示例,这可以通过将“位置”IP替换为实际设备IP来完成,如下所示:

DDoS4

图4:通过更改位置IP来访问rootDesc.xml文件。

第3步:修改端口转发规则

在rootDesc.xml中编目的是所有可用的UPnP服务和设备。对于每个,提供<SCPDURL>,显示设备将远程接受的所有操作。

DDoS5

图5:rootDesc.xml文件中列出的服务之一。

首先,该操作列表是AddPortMapping-a命令,可用于配置端口转发规则。

DDoS6

图6:用于配置端口转发规则的AddPortMapping操作。

使用文件中的方案,可以制作SOAP请求以创建转发规则,该规则通过端口UDP / 53将发送到端口1337的所有UDP数据包重新路由到外部DNS服务器(3.3.3.3)。这是它的样子:

DDoS7

图7:创建端口转发规则的API请求。

你们中的一些人可能会对这样的事情感到惊讶,因为端口转发仅用于将来自外部IP的流量映射到内部IP,反之亦然,而不是将来自外部IP的请求代理到另一个外部IP。然而,实际上,很少有路由器真的费心去验证所提供的“内部IP”实际上是内部的,并且因此遵守所有转发规则。

第4步:启动端口混淆的DNS放大

使用端口转发规则,将向设备发出DNS请求,提示以下事件序列:

UPnP设备在端口UDP / 1337上接收DNS请求。

然后,由于端口转发规则,请求将通过目标端口UDP / 53代理到DNS解析器。

DNS解析器通过源端口UDP / 53响应设备。

设备将DNS响应转发回原始请求者,但在将源端口更改回UDP / 1337之前不会。

DDoS8

图8:使用源端口混淆的DNS放大。

DDoS9

在我们自己的设备上运行此脚本让我们看到下面的冒烟枪 -从不规则的源端口(UDP / 1337)返回的Imperva.com的DNS响应:

DDoS10

图9:我们的吸烟枪 - 源端口1337的DNS响应。

这足以作为我们假设的概念证明。但是,在实际的攻击情形中,初始DNS请求将是从欺骗受害者的IP发出的,这意味着响应将被反弹回受害者。

如果这么倾向,我们可以使用该设备启动DNS放大DDoS攻击与回避端口。这些有效载荷将来自不规则的源端口,使它们能够绕过普通的清理指令,通过查找黑名单的源端口数据来识别放大有效载荷。

新睿云的高防云服务器与高防IP都可以有效抵御这些攻击,如果对防御DDoS感兴趣您不妨阅读《被ddos攻击了怎么办?看我15分钟就解决了这该死的黑客!

本文由新睿云原创,如有转载请注明出处!

热门标签
免费领云产品
联系客服
在线客服   
反馈意见
返回顶部
{{item.description}}

—您的烦恼我们已经收到—

我们会将处理结果发送至您的手机

请耐心等待