近期,關(guān)于DDoS攻擊的話(huà)題再次引發(fā)用戶(hù)關(guān)注。尤其是新型NTP反射放大攻擊,其在黑產(chǎn)中快速傳播,進(jìn)而全網(wǎng)泛濫。在諸多的DDoS攻擊防御事件中,放大攻擊的流行度占了百分之五十左右,攻擊難度系數(shù)只是占中間部分,但它的影響力較大。這意味著它的防護(hù)和緩解比較復(fù)雜。那么就有人想要知道什么是NTP放大攻擊?
那么問(wèn)題來(lái)了,什么是反射放大攻擊?NTP的防御措施是怎么樣的呢?接下來(lái)小編我就分享下NTP放大攻擊的操作過(guò)程以及防御措施。
NTP放大攻擊的防御措施:http://www.ukunilife.com/ddos/large.html
一、NTP放大攻擊的前世今生
在說(shuō)明這種新型攻擊手法之前,需要先科普一下反射放大攻擊。所謂的反射放大攻擊是非常常見(jiàn)的DDoS攻擊手法,其基本原理非常簡(jiǎn)單:攻擊者通過(guò)控制僵尸網(wǎng)絡(luò)偽造靶機(jī)IP向特定的公網(wǎng)服務(wù)器發(fā)送請(qǐng)求,公網(wǎng)服務(wù)器收到請(qǐng)求后會(huì)向靶機(jī)發(fā)送更大的應(yīng)答報(bào)文,從而實(shí)現(xiàn)攻擊流量放大。
這里的公網(wǎng)服務(wù)器是指對(duì)外開(kāi)放某些可被利用作反射放大的協(xié)議端口的服務(wù)器,比較常見(jiàn)的協(xié)議有DNS、NTP、SNMP、Memcached等,這些協(xié)議一般基于UDP,并且協(xié)議本身存在缺陷,沒(méi)有校驗(yàn)來(lái)源IP的真實(shí)性,且存在應(yīng)答報(bào)文遠(yuǎn)大于請(qǐng)求報(bào)文等特點(diǎn)。這種反射放大手法簡(jiǎn)單、有效,一直深受黑客喜愛(ài),所以很長(zhǎng)一段時(shí)間內(nèi)UDP反射就是反射放大攻擊的別稱(chēng)。
那有沒(méi)有利用NTP協(xié)議做反射攻擊的?
答案是有的。早在2018年就出現(xiàn)利用公網(wǎng)服務(wù)器開(kāi)放的NTP端口進(jìn)行反射攻擊的手法,相比UDP反射放大攻擊,此類(lèi)利用NTP協(xié)議棧的反射攻擊實(shí)際并無(wú)太明顯的流量放大效果,因?yàn)檎?qǐng)求的來(lái)源IP是偽造的,無(wú)法與TCP服務(wù)器完成TCP三次握手建立連接,所以無(wú)法得到應(yīng)用層的應(yīng)答報(bào)文。但是這種攻擊利用了NTP的協(xié)議棧特性,使靶機(jī)看到攻擊流量具備協(xié)議棧行為,而且成份復(fù)雜(synack、ack、rst等混合流量),導(dǎo)致反向挑戰(zhàn)、協(xié)議棧行為校驗(yàn)等傳統(tǒng)的NTP防護(hù)算法無(wú)法防護(hù),大大增加了防護(hù)難度,所以這種NTP反射誕生后很快成為DDoS攻擊的主流攻擊手法。
二、NTP放大攻擊的防御措施有哪些?
1、找到更容易觸發(fā)中間盒攔截的非法域名
找到欺騙中間盒,讓其誤判已經(jīng)建立TCP連接的方法后,就需要找到更容易讓中間盒下發(fā)攔截的域名。實(shí)際上中間盒對(duì)特定域名的攔截本質(zhì)上就是互聯(lián)網(wǎng)審查,所謂的互聯(lián)網(wǎng)審查是由于政治、宗教、道德、經(jīng)濟(jì)等原因,世界很多國(guó)家都會(huì)對(duì)互聯(lián)網(wǎng)流量進(jìn)行不同程度的審查而且對(duì)不符合當(dāng)?shù)胤煞ㄒ?guī)的域名進(jìn)行屏蔽和請(qǐng)求攔截。
盡管審查的范圍因國(guó)家地區(qū)而異,所以很難找到一個(gè)被所有審計(jì)中間盒攔截的域名,Kevin Bock等人在Quack
工具發(fā)布的公共數(shù)據(jù)進(jìn)行測(cè)試分析,找到從大多數(shù)中間盒中引發(fā)響應(yīng)的 5 個(gè)域,這些域巧合地跨越了五個(gè)不同的區(qū)域:色情相關(guān)域名、
賭博相關(guān)域名、社交媒體相關(guān)域名、文件共享相關(guān)域名、性健康/教育相關(guān)域名。
2、找到放大系數(shù)盡可能大的中間盒
為了讓靶機(jī)受到更大的攻擊流量,就需要找到放大效果更好的中間盒作為反射放大器,而放大系數(shù)就是主要的衡量標(biāo)準(zhǔn)。
放大系數(shù)可以理解為流量的放大倍數(shù),計(jì)算方法非常簡(jiǎn)單,就是response總長(zhǎng)度/query總長(zhǎng)度。傳統(tǒng)的UDP反射攻擊的放大系數(shù)與具體的協(xié)議實(shí)現(xiàn)相關(guān),所以放大系數(shù)是一個(gè)相對(duì)固定的值:除了Memcached反射攻擊以外,其他UDP反射放大系數(shù)不超過(guò)600,而且以200以?xún)?nèi)為主。
3、對(duì)NTP服務(wù)器進(jìn)行合理的管理和配置,將全部的NTP服務(wù)軟件升級(jí)到最新的版本;
4、在配置文件中添加noquery參數(shù)來(lái)限制客戶(hù)端的monlist等信息查詢(xún)請(qǐng)求;
5、通過(guò)防火墻對(duì)UDP試用的123端口進(jìn)行限制,只允許NTP服務(wù)于固定IP進(jìn)行通信;
6、運(yùn)用足夠大的帶寬,硬抗NTP服務(wù)產(chǎn)生的放大型流量攻擊。
7、使用DDoS防御產(chǎn)品,將入口異常訪問(wèn)請(qǐng)求進(jìn)行過(guò)濾清洗,然后將正常的訪問(wèn)請(qǐng)求分發(fā)給服務(wù)器進(jìn)行業(yè)務(wù)處理。
如果企業(yè)的中間盒(特別是合規(guī)系統(tǒng))如果存在TCP會(huì)話(huà)識(shí)別的漏洞,且合規(guī)的阻斷頁(yè)面過(guò)大,那么就很有可能會(huì)被外部攻擊者當(dāng)做“優(yōu)質(zhì)的”反射放大器,從而不可避免地頻繁遭受掃段式DDoS攻擊,極大的浪費(fèi)了系統(tǒng)性能、出口帶寬等寶貴資源,而且面臨被靶機(jī)投訴甚至報(bào)復(fù)的風(fēng)險(xiǎn)。
為此優(yōu)化合規(guī)系統(tǒng)等中間盒的機(jī)制,避免被利用將成為重要的安全話(huà)題,為此我們建議:中間盒可以新增TCP報(bào)文的合法性檢查和丟棄,例如syn置位但又?jǐn)y帶載荷的屬于明顯非法報(bào)文,可以將其丟棄。或者中間盒需要完善TCP會(huì)話(huà)識(shí)別能力,避免直接從TCP單包里直接提取域名直接下發(fā)攔截。在條件具備的情況下,盡量基于出入流量的雙向會(huì)話(huà)檢查,這樣可以徹底規(guī)避風(fēng)險(xiǎn)。
上一篇:
Syn Flood防御開(kāi)不開(kāi)?
下一篇:
網(wǎng)站滲透測(cè)試你做過(guò)嗎?滲透測(cè)試工具又有哪些?
