如何實(shí)現(xiàn)DDoS反射放大攻擊的全球探測(cè)分析

這篇文章將為大家詳細(xì)講解有關(guān)如何實(shí)現(xiàn)DDoS反射放大攻擊的全球探測(cè)分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

一、更新情況

二、概述

DDos攻擊是一種耗盡資源的網(wǎng)絡(luò)攻擊方式，攻擊者通過(guò)大流量攻擊，有針對(duì)性的漏洞攻擊等耗盡目標(biāo)主機(jī)的資源來(lái)達(dá)到拒絕服務(wù)的目的。

反射放大攻擊是一種具有巨大攻擊力的DDoS攻擊方式。攻擊者只需要付出少量的代價(jià)，即可對(duì)需要攻擊的目標(biāo)產(chǎn)生巨大的流量，對(duì)網(wǎng)絡(luò)帶寬資源（網(wǎng)絡(luò)層）、連接資源（傳輸層）和計(jì)算機(jī)資源（應(yīng)用層）造成巨大的壓力，2016年10月美國(guó)Dyn公司的DNS服務(wù)器遭受DDoS攻擊，導(dǎo)致美國(guó)大范圍斷網(wǎng)。事后的攻擊流量分析顯示，DNS反射放大攻擊與SYN洪水攻擊是作為本次造成美國(guó)斷網(wǎng)的拒絕服務(wù)攻擊的主力。由于反射放大攻擊危害大，成本低，溯源難，被黑色產(chǎn)業(yè)從業(yè)者所喜愛(ài)。

三、第四輪放大攻擊數(shù)據(jù)分析

[注：下面數(shù)據(jù)統(tǒng)計(jì)均基于第四輪 2018/03/05]

第四輪探測(cè)，ZoomEye網(wǎng)絡(luò)空間探測(cè)引擎在對(duì)前面兩輪6種DDoS攻擊的探測(cè)的基礎(chǔ)上，增加了對(duì)Memcached攻擊的探測(cè)。

3.1 CHARGEN

通過(guò)ZoomEye網(wǎng)絡(luò)空間探測(cè)引擎獲取到9萬(wàn)(95,010)臺(tái)主機(jī)開(kāi)放了19端口。然后對(duì)這9萬(wàn)主機(jī)進(jìn)行放大倍率的探測(cè)，實(shí)際上只有1萬(wàn)(10,122)臺(tái)主機(jī)開(kāi)啟了19點(diǎn)端口，占總數(shù)的10.65%。在開(kāi)啟了19端口的主機(jī)中，有6千(6,485)臺(tái)主機(jī)的放大倍數(shù)能夠達(dá)到10倍以上，占總數(shù)的64.07%，剩下的主機(jī)的放大倍數(shù)主要集中在2倍。相關(guān)數(shù)據(jù)如圖3.1-1所示：

對(duì)放大倍數(shù)達(dá)到10以上的主機(jī)流量進(jìn)行統(tǒng)計(jì)，我們總共發(fā)送了870KB(891,693 byte)的請(qǐng)求流量，得到了71M(74,497,401 byte)響應(yīng)流量，產(chǎn)生了83倍的放大流量。假設(shè)一臺(tái)主機(jī)1分鐘內(nèi)可以成功響應(yīng)100個(gè)請(qǐng)求數(shù)據(jù)包，計(jì)算得到攻擊流量有947Mbits/s。本輪探測(cè)對(duì)最大放大倍數(shù)進(jìn)行了統(tǒng)計(jì)，得到了Chargen協(xié)議單次請(qǐng)求響應(yīng)最高能放大319倍流量。

上面的數(shù)據(jù)和之前兩次的的數(shù)據(jù)進(jìn)行比較，Chargen DDoS攻擊的危害并沒(méi)有減小，反而有增大的趨勢(shì)。

根據(jù)ZoomEye網(wǎng)絡(luò)空間探測(cè)引擎的探測(cè)結(jié)果，對(duì)可利用的Chargen主機(jī)進(jìn)行全球分布統(tǒng)計(jì)，見(jiàn)圖3.1-2：

3.1-2 Chargen協(xié)議19端口可利用主機(jī)全球分布圖

從圖中可以看出仍然是韓國(guó)具有最多數(shù)量的可被利用進(jìn)行DDos反射放大攻擊的主機(jī)，我國(guó)排在第二 。下面，對(duì)我國(guó)各省份的情況進(jìn)行統(tǒng)計(jì)，如圖3.1-3所示：

3-1.3 Chargen協(xié)議19端口可利用主機(jī)全國(guó)分布圖

3.2 NTP

通過(guò)ZoomEye網(wǎng)絡(luò)空間探測(cè)引擎獲取到14萬(wàn)(147,526)臺(tái)開(kāi)啟了UDP 123端口的主機(jī)。利用這些數(shù)據(jù)進(jìn)行放大倍率探測(cè)，實(shí)際上只有1千(1,723)臺(tái)主機(jī)開(kāi)啟了UDP 123端口，占總數(shù)的1.17%，放大倍數(shù)大于10的主機(jī)只有4臺(tái)，占有響應(yīng)主機(jī)總數(shù)的0.23%，具體數(shù)量見(jiàn)圖3.2-1所示：

和上一次探測(cè)的結(jié)果相比，利用NTP進(jìn)行反射DDoS攻擊的隱患基本消除，不管是NTP服務(wù)器的總量還是可被利用服務(wù)器數(shù)量，都大幅度下降，尤其是本次探測(cè)中，只發(fā)現(xiàn)4臺(tái)可被利用的NTP服務(wù)器，而且這4臺(tái)皆位于日本。我國(guó)未被探測(cè)到可被利用的NTP服務(wù)器。

3.3 DNS

通過(guò)Zoomeye網(wǎng)絡(luò)空間探測(cè)引擎獲取到2千萬(wàn)(21,261,177)臺(tái)UDP 53端口相關(guān)的主機(jī)，對(duì)這些主機(jī)進(jìn)行放大倍率探測(cè)，實(shí)際上只有384萬(wàn)(3,847,687)臺(tái)主機(jī)開(kāi)啟了53端口，占了掃描總數(shù)的18.1%。在開(kāi)啟了53端口的主機(jī)中，有3萬(wàn)(31,999)臺(tái)主機(jī)放大倍數(shù)在10倍以上，只占總數(shù)的0.83%，而放大倍數(shù)為1的主機(jī)有277萬(wàn)(2,776,027)臺(tái)，具體數(shù)據(jù)見(jiàn)圖3.3-1：

和上一版的數(shù)據(jù)相比，互聯(lián)網(wǎng)上DNS服務(wù)器的和可被利用的DNS服務(wù)器數(shù)量均處于下降狀態(tài)。

下面，再來(lái)看看這3萬(wàn)臺(tái)放大倍數(shù)大于10的主機(jī)全球分布情況，如圖3.3-2所示，可以看到，和上一輪相比，數(shù)量排名沒(méi)啥變化，仍然是美國(guó)排在第一位。我們又對(duì)可利用主機(jī)在我國(guó)的分布情況進(jìn)行了統(tǒng)計(jì)，如圖3.3-3所示，和上一輪相比，湖北省的DNS服務(wù)器數(shù)量有了明顯的提高。

3.3-2 DNS協(xié)議53端口可利用主機(jī)全球分布圖

3.3-3 DNS協(xié)議53端口可利用主機(jī)全國(guó)分布圖

3.4 SNMP

通過(guò)Zoomeye網(wǎng)絡(luò)空間探測(cè)引擎獲取到1千萬(wàn)(11,681,422)臺(tái)UDP 161端口相關(guān)的主機(jī)，對(duì)這些主機(jī)進(jìn)行放大倍率探測(cè)，實(shí)際上有167萬(wàn)(1,677,616)臺(tái)主機(jī)開(kāi)啟了161端口，占了掃描總數(shù)的14.36%。在開(kāi)啟了161端口的主機(jī)中，有61萬(wàn)(617,980)臺(tái)主機(jī)放大倍數(shù)在10倍以上，占了總數(shù)的36.84%，具體數(shù)據(jù)見(jiàn)圖3.4-1：

本次探測(cè)得到的數(shù)據(jù)和前一輪的數(shù)據(jù)相比較，探測(cè)到的SNMP主機(jī)數(shù)增加，而可利用的主機(jī)數(shù)卻呈下降狀態(tài)。

下面，再來(lái)看看這61萬(wàn)臺(tái)放大倍數(shù)大于10的主機(jī)全球分布情況，如圖3.4-2所示，可以看到，我國(guó)的主機(jī)量上升到了第二位。我們又對(duì)可利用主機(jī)在我國(guó)的分布情況進(jìn)行了統(tǒng)計(jì)，如圖3.4-3所示，臺(tái)灣，北京，黑龍江仍然是受影響最深的幾個(gè)省份之一。

3.4-2 SNMP協(xié)議161端口可利用主機(jī)全球分布圖

3.4-3 SNMP協(xié)議161端口可利用主機(jī)全國(guó)分布圖

3.5 SSDP

通過(guò)Zoomeye網(wǎng)絡(luò)空間探測(cè)引擎獲取到3千萬(wàn)(32,522,480)臺(tái)UDP 1900端口相關(guān)的主機(jī)，對(duì)這些主機(jī)進(jìn)行放大倍率探測(cè)，實(shí)際上有60萬(wàn)(609,014)臺(tái)主機(jī)開(kāi)啟了1900端口，占了掃描總數(shù)的1.87%。在開(kāi)啟了1900端口的主機(jī)中，有57萬(wàn)(572,936)臺(tái)主機(jī)放大倍數(shù)在10倍以上，占了總數(shù)的94.08%，具體數(shù)據(jù)見(jiàn)圖3.5-1：

下面，再來(lái)看看這57萬(wàn)臺(tái)放大倍數(shù)大于10的主機(jī)全球分布情況，如圖3.5-2所示，和上一輪探測(cè)的數(shù)據(jù)相比，沒(méi)有明顯的變化。 再對(duì)我國(guó)的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，如圖3.5-3所示，臺(tái)灣仍是我國(guó)可被利用的主機(jī)數(shù)最多的省份，遠(yuǎn)遠(yuǎn)超過(guò)我國(guó)的其他省份。

3.5-2 SSDP協(xié)議1900端口可利用主機(jī)全球分布圖

3.5-3 SSDP協(xié)議1900端口可利用主機(jī)全國(guó)分布圖

3.6 CLDAP

通過(guò)Zoomeye網(wǎng)絡(luò)空間探測(cè)引擎獲取到40萬(wàn)(403,855)臺(tái)UDP 389端口相關(guān)的主機(jī)，對(duì)這些主機(jī)進(jìn)行放大倍率探測(cè)，實(shí)際上有1萬(wàn)(17,725)臺(tái)主機(jī)開(kāi)啟了389端口，占了掃描總數(shù)的4.39%。在開(kāi)啟了389端口的主機(jī)中，有1萬(wàn)(17,645)臺(tái)主機(jī)放大倍數(shù)在10倍以上，占了總數(shù)的99.55%，具體數(shù)據(jù)見(jiàn)圖3.6-1：

下面，再來(lái)看看這2萬(wàn)臺(tái)放大倍數(shù)大于10的主機(jī)全球分布情況，如圖3.5-2所示，可以看到，美國(guó)仍然是可被利用的CLDAP服務(wù)器數(shù)量最多的國(guó)家，我國(guó)依舊排第三位。

我們又對(duì)可利用主機(jī)在我國(guó)的分布情況進(jìn)行了統(tǒng)計(jì)，如圖3.5-3所示，臺(tái)灣依然是我國(guó)可被利用的主機(jī)數(shù)最多的省份，和香港一起遠(yuǎn)遠(yuǎn)超過(guò)我國(guó)的其他省份地區(qū)。

3.6-2 LDAP協(xié)議389端口可利用主機(jī)全球分布圖

3.6-3 LDAP協(xié)議389端口可利用主機(jī)全國(guó)分布圖

3.7 Memcached

Memcached是一個(gè)自由開(kāi)源的，高性能，分布式內(nèi)存對(duì)象緩存系統(tǒng)。Memcached是以LiveJournal旗下Danga Interactive公司的Brad Fitzpatric為首開(kāi)發(fā)的一款軟件?，F(xiàn)在已成為mixi、hatena、Facebook、Vox、LiveJournal等眾多服務(wù)中提高Web應(yīng)用擴(kuò)展性的重要因素。

Memcached是一種基于內(nèi)存的key-value存儲(chǔ)，用來(lái)存儲(chǔ)小塊的任意數(shù)據(jù)（字符串、對(duì)象）。這些數(shù)據(jù)可以是數(shù)據(jù)庫(kù)調(diào)用、API調(diào)用或者是頁(yè)面渲染的結(jié)果。

Memcached簡(jiǎn)潔而強(qiáng)大。它的簡(jiǎn)潔設(shè)計(jì)便于快速開(kāi)發(fā)，減輕開(kāi)發(fā)難度，解決了大數(shù)據(jù)量緩存的很多問(wèn)題。它的API兼容大部分流行的開(kāi)發(fā)語(yǔ)言。

本質(zhì)上，它是一個(gè)簡(jiǎn)潔的key-value存儲(chǔ)系統(tǒng)。一般的使用目的是，通過(guò)緩存數(shù)據(jù)庫(kù)查詢結(jié)果，減少數(shù)據(jù)庫(kù)訪問(wèn)次數(shù)，以提高動(dòng)態(tài)Web應(yīng)用的速度、提高可擴(kuò)展性。

Memcached Server在默認(rèn)情況下同時(shí)開(kāi)啟了TCP/UDP 11211端口，并且無(wú)需認(rèn)證既可使用Memcached的儲(chǔ)存服務(wù)。2018年3月2日，ZoomEye對(duì)全網(wǎng)開(kāi)啟了UDP 11211端口，并且無(wú)需認(rèn)證的Memcached進(jìn)行探測(cè)，共得到14142個(gè)目標(biāo)，并對(duì)這些目標(biāo)進(jìn)行全球分布統(tǒng)計(jì)，如圖3.7-1所示：

3.7-1 Memcached可被利用主機(jī)全球分布圖

從上圖中可以明顯的看出我國(guó)對(duì)安全問(wèn)題的重視程度和國(guó)外仍然有較大的差距。在14142個(gè)有效目標(biāo)中，有11368個(gè)目標(biāo)的IP地址位于我國(guó)。下面再對(duì)我國(guó)的目標(biāo)進(jìn)行全國(guó)分布統(tǒng)計(jì)，如圖3.7-2所示：

3.7-2 Memcached可被利用主機(jī)全國(guó)分布圖

Memcached未開(kāi)啟認(rèn)證的情況下，任何人都可以訪問(wèn)Memcached服務(wù)器，儲(chǔ)存鍵值對(duì)，然后可以通過(guò)key來(lái)獲取value。所以，我們能在Memcached儲(chǔ)存一個(gè)key為1byte的，value為1kb的數(shù)據(jù)，然后我們?cè)偻ㄟ^(guò)該key獲取到value，這樣就產(chǎn)生了將近1000倍的放大效果。Memcached在默認(rèn)情況下還會(huì)開(kāi)啟UDP端口，所以這就導(dǎo)致了Memcached可以被利用來(lái)進(jìn)行DDoS放射放大攻擊。而Memcached能放大多少倍取決于：

1.Memcached服務(wù)器帶寬

2.Memcached能儲(chǔ)存的值的最大長(zhǎng)度

利用自己的服務(wù)器進(jìn)行一個(gè)測(cè)試，首先讓能利用的Memcached儲(chǔ)存一個(gè)1kb長(zhǎng)度的值，然后同時(shí)向所有目標(biāo)獲取值，能收到886Mbit/s的流量，如圖3.7-3所示：

3.7-3 流量統(tǒng)計(jì)圖    

四、總結(jié)

和前面三輪探測(cè)的數(shù)據(jù)相比，在第四輪的探測(cè)中，變化最大的是NTP服務(wù)，當(dāng)前互聯(lián)網(wǎng)的NTP服務(wù)器已經(jīng)沒(méi)辦法造成大流量的DDoS反射放大攻擊了。與之相比，其他協(xié)議也或多或少的降低了可被利用的主機(jī)數(shù)量 。DDoS反射放大攻擊仍然危害巨大，DDoS防御仍然刻不容緩。

從這次ZoomEye探測(cè)到的數(shù)據(jù)中，再和公網(wǎng)上的Memcached服務(wù)進(jìn)行對(duì)比：

4-4 ZoomEye探測(cè)11211端口數(shù)量

在ZoomEye的數(shù)據(jù)庫(kù)中，開(kāi)啟11211端口的目標(biāo)有54萬(wàn)，其中美國(guó)有23萬(wàn)，中國(guó)有13萬(wàn)的目標(biāo)，但是開(kāi)啟了UDP 11211端口的數(shù)據(jù)中，總量只有14142，其中美國(guó)有1070的目標(biāo)，中國(guó)有11368個(gè)目標(biāo)主機(jī)。

從這些數(shù)據(jù)對(duì)比中，可以看出美國(guó)對(duì)此類的安全事件有非?？斓捻憫?yīng)速度，中國(guó)和美國(guó)的差距還很大。

從放大效果來(lái)看，雖然可利用的目標(biāo)已經(jīng)縮減到1萬(wàn)的量級(jí)，但是仍然能造成大流量的DDos攻擊。

對(duì)于Memcached的用戶，我們建議關(guān)閉其UDP端口，并且啟用SASL 認(rèn)證，對(duì)于運(yùn)營(yíng)商，建議在路由器上增加的uRPF(Unicast Reverse Path Forwarding)機(jī)制，該機(jī)制是一種單播反向路由查找技術(shù)，用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為，利用該機(jī)制能使得UDP反射攻擊失效。

關(guān)于如何實(shí)現(xiàn)DDoS反射放大攻擊的全球探測(cè)分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。