端口映射:新的DDoS放大攻擊
作者:網(wǎng)站建設(shè)出處:學(xué)眾科技發(fā)布時(shí)間:2015年08月31日點(diǎn)擊數(shù):1566
昨日,錘子發(fā)布會(huì)出現(xiàn)一些問題�����,據(jù)悉是其官網(wǎng)服務(wù)器遭遇了數(shù)十G流量DDoS攻擊��,這種大流量的DDoS攻擊行為���,恰恰印證了《2015 H1綠盟科技DDoS威脅報(bào)告》中的觀點(diǎn)����,大流量攻擊呈現(xiàn)增長趨勢�����。
DDoS大流量攻擊威脅互聯(lián)網(wǎng)安全
報(bào)告中指出2015上半年中發(fā)現(xiàn)的大流量攻擊流量����,其種類以UDP混合流量為主(72%)。報(bào)告還指出有兩種客觀的因素為大流量攻擊創(chuàng)造了條件�,1隨著“寬帶中國”戰(zhàn)略實(shí)施方案的推進(jìn)�,城市和農(nóng)村家庭寬帶接入能力逐步達(dá)到20兆比特每秒(Mbps)和4Mbps�,部分發(fā)達(dá)城市達(dá)到100Mbps,同時(shí)連接速度也在上升��;2智能路由器等智能設(shè)備普遍存在安全性問題�,它們常被利用成為放大攻擊的源頭,最高放大系數(shù)可達(dá)75�����。而從2014到2015 H1�,這些問題并未得到好轉(zhuǎn)。
新的DDoS放大攻擊形式 端口映射
而今天Level 3 Threat Research Labs發(fā)現(xiàn)了一種新的DDoS放大攻擊形式��,放大系數(shù)最高可達(dá)28.4����,這就是Portmapper。Portmapper(也稱rpcbind��、portmap或RPCPortmapper)是一種端口映射功能�����,常用于將內(nèi)部網(wǎng)絡(luò)中的服務(wù)端口發(fā)布到互聯(lián)網(wǎng)����。Portmapper可以視為一項(xiàng)RPC目錄服務(wù)。當(dāng)客戶端尋求合適的服務(wù)時(shí)�,可在Portmapper中查找。針對這些查詢,Portmapper返回的響應(yīng)大小不一����,主要取決于主機(jī)上運(yùn)行的是哪項(xiàng)RPC服務(wù)。
Portmapper可在TCP或UDP 111端口上運(yùn)行��。UDP端口就常常用來偽造的UDP請求��,以便進(jìn)行放大式攻擊��。正常情況下該響應(yīng)包是比較小的���,只有486字節(jié)���,對比其查詢請求(68字節(jié)),放大系數(shù)為7.1x���。在廣譜平臺上�,我們看到最高響應(yīng)包高達(dá)1930字節(jié)�����,放大系數(shù)為28.4x。
我們統(tǒng)計(jì)了網(wǎng)絡(luò)中前300名查詢者的流量��,并計(jì)算平均響應(yīng)包大小��。計(jì)算結(jié)果表明���,平均響應(yīng)包大小為1241字節(jié)(放大系數(shù)為18.3x)如果是DDoS攻擊���,我們發(fā)現(xiàn),平均響應(yīng)包大小為1348字節(jié)(放大系數(shù)為19.8x)顯然����,Portmapper作為DDoS攻擊形式時(shí),這些放大系數(shù)十分可怕��。
端口映射放大式攻擊增長迅猛
其他反射攻擊方法在過去幾周內(nèi)表現(xiàn)平穩(wěn)����,而這個(gè)特殊的攻擊向量卻迅速增長。
與6月最后7天內(nèi)的全局portmap流量相比�,8月12日前7天的流量增長了22倍。顯然,成功利用這種方法的攻擊正在大肆增長�����。而與其他流行的UDP服務(wù)相比����,Portmapper的全局流量仍然很小�。
Portmapper的全局流量是如此之小,它幾乎被標(biāo)注在圖表的底部紅線位置����。但要啟動(dòng)請求過濾并從互聯(lián)網(wǎng)上移除反射主機(jī),以預(yù)防更大規(guī)模的攻擊和造成更多的損害�,尚需時(shí)日。
建議防范UDP
Portmapper在互聯(lián)網(wǎng)上成為反射型和放大型DDoS攻擊的新形式�����。各機(jī)構(gòu)或組織����,如果需要在其環(huán)境中繼續(xù)使用Portmapper提供端口映射服務(wù),就需要對這些端口及流量展開清洗����。但是Portmapper只是一種攻擊形式��,在許多的服務(wù)器上�����,還存在大量的RPC服務(wù)調(diào)用���,它們也都使用UDP端口,這些服務(wù)也存在DDoS反射或放大攻擊的可能�����。必要的情況下����,可以考慮禁用這些RPC服務(wù)調(diào)用。
所以我們建議��,需要在開放的互聯(lián)網(wǎng)上嚴(yán)格審查Portmapper���、NFS���、NIS以及所有其他RPC服務(wù)���。在服務(wù)必須開啟的情況下,配置防火墻決定哪些IP地址可以訪問這些服務(wù)�,之后只允許這些IP地址發(fā)送TCP請求,以避免這些IP地址在不知情的情況下參與DDoS攻擊���。
以上Portmapper的相關(guān)內(nèi)容��,引自Level 3 Threat Research Labs發(fā)布的研究成果�。需要了解2015年DDoS威脅發(fā)展態(tài)勢����,
豫公網(wǎng)安備41018402000614號