2018-05-02 12:14:261938人阅读
近期,媒体报道了多起大型反射类DDoS攻击事件。2018年3月,美国知名代码托管网站 GitHub 遭遇了史上最大规模的 DDoS 网络攻击,攻击者利用 Memcache 协议进行DDoS 反射放大攻击。2017年12月,百度智云盾成功防御了一次峰值为144Gbps的SSDP型反射攻击,持续时间超过2天。反射类型的 DDoS 攻击正在荼毒全球用户,且愈演愈烈。
反射类DDoS攻击易以小搏大,成攻击者强力武器
反射型的 DDoS 攻击是当前最流行的一种DDoS攻击方式,又被称为DRDoS(Distributed Reflection Denial os Service,分布式反射拒绝服务)攻击,是指攻击者利用路由器,服务器等公共的开放式服务对欺骗性质请求产生应答,从而反射攻击流量并隐藏攻击来源的一种分布式拒绝服务攻击技术。
近年来,反射类攻击越来越受到攻击者的追捧,一方面是反射类型的 DDoS 攻击可以更好的隐藏攻击者的行踪。因为攻击者并不直接攻击目标服务 IP,而是利用互联网的提供公共开放服务的服务器。攻击者通过伪造被攻击者的 IP 地址、向有开放服务的服务器发送构造的请求数据包,该服务器会将响应数据包发送到被攻击 IP,从而对后者间接形成 DDoS 攻击。
另一方面反射类攻击容易带来巨大攻击流量,反射攻击真正的威胁在于利用反射原理进行的放大攻击。放大攻击是一种特殊的反射攻击,其特殊之处在于反射器对于网络流量具有放大作用,开放的网络范围内,可被利用的服务很多,同时放大倍率高,从而让攻击者可以通过以小搏大的方式发起攻击。
常见被利用反射服务放大倍数 | |
攻击类型 | 攻击理论放大倍数 |
BitTorrent | 3.8 |
CharGen | 358.8 |
CLDAP | 56-70 |
DNS | 28-54 |
IPMI | 1.1 |
Kad | 16.3 |
LDAP | 55 |
mDNS | 2-10 |
MEMCACHE | 10000-50000 |
NETBIOS | 3.8 |
NTP | 556.9 |
Portmap | 7-28 |
QOTD | 140.3 |
Quake Networker Protocol | 63.9 |
SNMPV2 | 6.3 |
SSDP | 30.8 |
Steam Protocol | 5.5 |
TFTP | 60 |
反射服务攻击实际放大倍数,受到具体服务端性能和中间网络过滤等因数影响,实际无法达到理论值。
智云盾加强反射类攻击监测,保护用户免受威胁
针对反射类DDoS攻击大幅上升的情况,百度智云盾加强了对反射类DDoS攻击事件监测,据数据显示,2017年被反射攻击利用IP地址达45万个,中国范围内的反射源最多占比86.5%。智云盾通过对反射攻击所利用的协议统计发现,被利用最多的反射协议是SSDP。其次新型反射攻击也不断涌现,就在2018年3月,一次峰值2Gbps未知反射类型的DDoS攻击,整个攻击持续了15分20秒,通过对智云盾的安全数据分析,认定这是一次新类型的使用了IPMI协议进行的反射攻击。
根据智云盾的监测数据,全国被利用最多发起反射攻击的服务器归属于青岛,共参与了22558次反射攻击事件。智云盾防护的DDoS反射攻击监测数据中,动辄上百 Gbps 的攻击已十分常见,反射型DDoS 攻击正变得越来越严重。而且,随着攻击者掌握越来越多的互联网资源,攻击复杂性也一直在增加,相应的企业用户所面临的DDoS 威胁也不断增多。
当被攻击者看到流量异常时,攻击流量已经阻塞了用户的下行流量端口。所以针对反射类DDoS攻击,除了需要各方通力合作对互联网上的设备和服务进行安全管理和安全配置消除反射源之外,还需要在服务端做好防御准备,比如增加 ACL 过滤规则和 DDoS 清洗服务。此外,百度智云盾通过设置开放服务白名单的方式对所有入向流量进行校验,不符合白名单的开放服务地址来源流量都被黑洞,有效的遏制了反射攻击的危害。
未来,基于百度安全成熟的防御技术,智云盾将继续完善安全威胁检测和防御能力,加强数据中心安全基础设施建设,为数据中心安全保驾护航。