新睿云

> DDoS高防云服务器 > “乾坤大挪移”DDoS反射大法

“乾坤大挪移”DDoS反射大法

作者/来源:新睿云小编 发布时间:2019-06-20

反射和放大是DDoS攻击中常用的机制。这些简单而有效的技术在2013年左右流行起来。它们利用可公开访问的UDP服务来使响应流量的受害者超负荷。攻击者通常不必滥用旧版本的协议或利用漏洞。相反,则为使用的合法流量。如果您不清楚DDoS攻击请阅读《知己知彼,DDos黑客攻击手段大全

当攻击者伪造请求数据包的源地址,伪装成受害者时,就会发生反射。使用UDP时,服务器无法区分合法请求和欺骗请求。因此,他们直接回复受害者。此技术从受害者的系统和滥用的服务器中隐藏攻击者的真实IP地址。

另一种机制是流量放大。攻击者的目标是使滥用的服务产生尽可能多的响应数据。响应大小和请求之间的比率称为放大系数。攻击者想要达到最大可能的比率。例如,如果使用开放的CharGEN服务来淹没受害者,则可以观察到高达359倍的放大系数。

DDoS反射放大:一些互联网基础知识

自IP网络发展初期以来,工程师不断开发新的计算机交换方式,以满足不断发展和不断增长的人类需求。

在最低层,Internet协议为通过Internet的计算机之间的信息交换提供了最基本的基础。

在一个更高层,根据要交换的信息类型,计算机将通过两种可能的传输机制之一进行通信。 挑选一个或另一个通常是网络效率和数据完整性之间的权衡问题:

TCP: 效率低下,数据完整性保证

UDP:非常高效,没有完整性保证

在更高层,网络协议建立在TCP或UDP的基础上,基于最重要的事情来满足每个人的需求。例如:

查看网页通过HTTP进行,HTTP本身是在TCP之上构建的。这是因为没有人希望他们的网页只有部分可供他们使用,缺少单词,短语或整段。

某些视频流和实时通信(如实时视频会议和互联网电话)将通过UDP(尽可能)传送的协议进行。这是因为在这种特定情况下,每台计算机都能够“优雅地”处理中等数据丢失,因为人类可能会丢失一些丢失的帧或单词。

DDoS反射放大:利用信任

由于TCP需要在两台计算机之间进行广泛的握手过程,因此不会误认为每台计算机的身份,因此,构建在其上的协议会使攻击不那么引人入胜。

另一方面,UDP非常信任。计算机发送每个其他位和信息,没有潜在的机制来保证发送者是谁。

反射攻击依赖于两个漏洞因素

UDP的上述“信任”特性,以及构建在其上的大多数协议。

在诸如NTP之类的UDP协议(网络时间协议)的情况下,在请求中有多少数据与从响应中发送了多少数据之间存在潜在的不对称性:小请求导致巨大响应。从表面上看,NTP应该是非常对称的:

当这些技术一起重复使用时,会产生攻击。可以涉及多个位置的服务器以产生更具破坏性的结果。重要的是要认识到滥用服务是受害者以及回复洪水所针对的服务。这些服务器突然不得不处理异常大量的欺骗请求,这些请求可能会阻止它们为合法流量提供服务。

许多UDP协议都可能被滥用。其中最常见的是:NTP,放大系数为557倍,CharGEN系数为359倍,DNS系数为28至54倍,SSDP系数为31倍。

滥用NTP要求协议的旧功能处于活动状态。攻击者使用调试命令“monlist”来触发指向受害者系统的大量数据。使用此命令不需要身份验证或授权。服务器应该返回有关NTP客户端的统计信息,例如IP地址,NTP版本和对NTP服务器的请求数。响应最多发送100个UDP数据报,每个数据报的有效载荷为440字节。'monlist'的放大系数直接取决于服务器返回的客户端IP数量,但总是非常高。“monlist”返回的表条目的最大数量为600(对于NTP的Linux实现)。这意味着单个查询返回的最大数据量最多可达50KB。

互联网上有数以百万计的服务,攻击者可以滥用这些服务,但它们都可以得到保护,以避免参与DDoS攻击。有些可能完全关闭,有些应该放在防火墙后面以防止外部访问,而有些则需要重新配置或升级以提供适当的安全机制。

DDoS反射攻击减轻的办法:

和往常一样,你最好在受到攻击之前做好准备。

如果您在新睿云云服务器中Web应用程序,请确保您的安全组仅允许TCP端口80443上的流量,假设您正在执行TLS / HTTPS。任何其他开放端口或协议应限于非常特定的IP或专用网络。

如果您在自己的本地服务器中运行Web应用程序,请尝试与您的上游ISP合作,即运行业务所需的非常具体的TCP端口。尝试尽一切可能减少攻击面。

想要知道更多DDoS的攻击办法——《百战不殆,一文让您轻松检测DDoS避免被攻击的烦恼

热门标签
new year
联系客服
在线客服   
反馈意见
返回顶部
{{item.description}}

—您的烦恼我们已经收到—

我们会将处理结果发送至您的手机

请耐心等待