月度归档: 2017 年 9 月

什么是死亡Ping(Ping of Death)?

什么是死亡Ping攻击?

死亡攻击是一种拒绝服务(DoS)攻击,攻击者的目标是通过发送大于最大允许大小的数据包来破坏目标机器,导致目标机器冻结或崩溃。原来的平安死亡袭击今天不太常见。称为ICMP洪水袭击的相关攻击更为普遍。

死亡Ping如何工作?

互联网控制消息协议(ICMP)回应回复消息或“ping”是用于测试网络连接的网络实用程序,它的工作原理与声纳相似 – “脉冲”被发送出来,并且该脉冲的“回波”告诉操作员有关环境的信息。如果连接正常,源计算机从目标机器接收到一个回复​​。

虽然一些ping数据包很小,但是IP4 ping数据包要大得多,可以和最大允许数据包大小为65,535字节一样大。一些TCP / IP系统从未被设计为处理大于最大数据包的数据包,使得它们容易受到超过该大小的数据包的影响。

当恶意大数据包从攻击者发送到目标时,数据包将分段成分段,每个数据段都低于最大大小限制。当目标机器尝试将这些部分重新放在一起时,总数超过了大小限制,并且可能会发生缓冲区溢出,导致目标机器冻结,崩溃或重启。

虽然ICMP回显可用于此攻击,但是发送IP数据报的任何内容都可用于此漏洞。这包括TCP,UDP和IPX传输。

死亡Ping DDoS攻击如何缓解?

阻止攻击的一个解决方案是对重新组装过程添加检查,以确保在分组重组后不会超过最大数据包大小约束。另一种解决方案是创建一个具有足够空间的内存缓冲区来处理超过最大准则的数据包。

原来的“死亡Ping”攻击大多走过恐龙之路; 1998年以后创建的设备通常受到此类攻击的保护。一些传统设备可能仍然易受攻击。近期发现了针对Microsoft Windows的IPv6数据包的新的Ping死亡攻击,并于2013年中期进行了修补。

什么是Smurf攻击?

Smurf攻击是一种分布式拒绝服务攻击(DDoS)攻击,攻击者尝试使用Internet控制消息协议(ICMP)数据包来淹没目标服务器。通过将目标设备的欺骗IP地址的请求发送到一个或多个计算机网络,计算机网络然后响应于目标服务器,放大初始攻击流量并潜在地压倒目标,使其无法访问。这种攻击向量通常被认为是一个解决的漏洞,不再普及。

Smurf攻击如何工作?

虽然ICMP数据包可以用于DDoS攻击,通常它们在网络管理中提供有价值的功能。使用ICMP数据包的ping应用程序由网络管理员用来测试网络硬件设备,如计算机,打印机或路由器。通常使用ping来查看设备是否可操作,并跟踪消息从源设备往目的地返回到源的时间。不幸的是,由于ICMP协议不包括握手,接收请求的硬件设备无法验证请求是否合法。

这种类型的DDoS攻击可以被认为是一个叫做办公室经理的恶作剧者,并假装成为公司的首席执行官。恶作剧者要求经理告诉每位员工,将他的私人电话号召给执行官,并给他们关于他们的工作情况的最新情况。恶作剧者给出了目标受害者的回调号码,然后接收与办公室中的人一样多的无用电话。

以下是Smurf攻击的工作原理:

首先,Smurf恶意软件构建一个欺骗的数据包,其源地址设置为目标受害者的真实IP地址。
然后,该分组被发送到路由器或防火墙的IP广播地址,路由器或防火墙又向广播网络内的每个主机设备地址发送请求,通过网络上的网络设备的数量增加请求的数量。
网络内的每个设备接收来自广播者的请求,然后使用ICMP回应应答包来响应目标的欺骗地址。
目标受害者然后收到大量的ICMP回应回复数据包,可能会变得不知所措,并导致对合法流量的拒绝服务。
如何减轻Smurf攻击?

多年来,已经开发和实施了这个攻击媒介的几个缓解策略,并且大部分被考虑解决这个攻击。在有限数量的遗留系统上,仍然需要应用缓解技术。一个简单的解决方案是在每个网络路由器和防火墙上禁用IP广播地址。较旧的路由器可能默认启用广播,而较新的路由器可能已经禁用。

什么是Slowloris DDoS攻击?

Slowloris是一种拒绝服务攻击程序,允许攻击者通过打开和维护攻击者与目标之间的许多同时HTTP连接来淹没目标服务器。

Slowloris攻击如何工作?

Slowloris是通过利用部分HTTP请求来操作的应用层攻击。攻击功能通过打开与目标Web服务器的连接,然后尽可能长地保持这些连接。

Slowloris不是一个攻击类别,而是一种特定的攻击工具,旨在允许单个机器在不使用大量带宽的情况下占用服务器。与基于反射的基于反射的DDoS攻击(例如NTP放大)不同,这种类型的攻击使用的带宽较少,而是旨在以似乎比正常速度慢的请求使用服务器资源,但是模拟常规流量。它属于被称为“低和慢”攻击的攻击类别。目标服务器只有很多线程可用于处理并发连接。每个服务器线程将尝试在等待缓慢请求完成时保持活动,从不发生。当服务器的最大可能连接已超出时,

慢病毒攻击发生在四个步骤:

攻击者首先通过发送多个部分HTTP请求标头打开与目标服务器的多个连接。
该目标为每个传入请求打开一个线程,其目的是在连接完成后关闭线程。为了有效,如果连接耗时太长,服务器将超时连接超时,释放线程以进行下一个请求。
为了防止目标超时,攻击者会定期向目标发送部分请求头,以保持请求的有效性。本质上说,“我还在这里!我只是慢,请等我。
在等待终止请求时,目标服务器永远不能释放任何打开的部分连接。一旦所有可用的线程正在使用中,服务器将无法响应由常规流量引起的其他请求,导致拒绝服务。
Slowloris背后的关键在于其带宽消耗很少的麻烦。

Slowloris攻击如何缓解?

对于易受Slowloris影响的Web服务器,有一些方法可以减轻一些影响。弱势服务器的缓解选项可以分为3个一般类别:

增加服务器可用性 – 增加服务器在任何时候允许的最大客户端数量将增加攻击者在使服务器超负荷之前必须创建的连接数。实际上,攻击者可以扩大攻击次数,以克服服务器容量,而不管增加。
限速传入请求 – 基于某些使用因素限制访问将有助于缓解Slowloris攻击。允许限制单个IP地址的最大连接数限制,限制传输速度慢以及限制客户端保持连接的最大时间的技术都是限制低速和慢速攻击有效性的方法。
基于云的保护 – 使用可用作反向代理的服务,保护源服务器。

什么是Ping(ICMP)洪水攻击?

ping flood是一种 拒绝服务攻击,攻击者试图用ICMP回显请求报文来淹没目标设备,导致目标对正常流量无法访问。当攻击流量来自多台设备时,攻击成为DDoS攻击或分布式拒绝服务攻击。

平洪攻击如何工作?

在Ping Flood攻击中使用的 Internet控制消息协议(ICMP)是由网络设备使用的Internet层协议进行通信。网络诊断工具 traceroute和 ping均使用ICMP进行操作。通常,ICMP回显请求和回应回复消息用于ping网络设备,以便诊断设备的健康和连接以及发送方和设备之间的连接。

ICMP请求需要一些服务器资源来处理每个请求并发送响应。请求还要求传入消息(回应请求)和传出响应(回应 – 回复)两者都有带宽。Ping Flood攻击旨在压倒有针对性的设备响应大量请求的能力和/或使虚假的流量网络连接过载。通过使僵尸网络中的许多设备 使用ICMP请求定位同一个Internet属性或基础设施组件,攻击流量将大大增加,可能导致正常网络活动中断。从历史上看,攻击者经常会 伪造一个假的 IP地址以屏蔽发送设备。随着现代僵尸网络攻击,恶意行为者很少看到需要掩盖机器人的IP,而是依靠一个庞大的非欺骗机器人网络来饱和目标的容量。

Ping(ICMP)Flood的DDoS形式可以分为2个重复步骤:

1.攻击者使用多个设备向目标服务器发送许多ICMP回显请求报文。
2.然后,目标服务器作为响应向每个请求设备的IP地址发送ICMP回应应答分组。

Ping Flood的破坏性影响与对目标服务器的请求数成正比。与基于反射的DDoS攻击(如 NTP放大和 DNS放大)不同,Ping Flood攻击流量是对称的; 目标设备接收的带宽量只是从每个机器人发送的总流量的总和。

Ping洪水袭击如何缓解?

通过禁用目标路由器,计算机或其他设备的ICMP功能,最容易实现禁止Ping洪水。网络管理员可以访问设备的管理界面,并禁用其使用ICMP发送和接收任何请求的能力,有效地消除了对请求的处理和回应回复。这样做的结果是所有涉及ICMP的网络活动都被禁用,使得设备对ping请求,跟踪路由请求和其他网络活动无响应。

什么是UDP Flood攻击?

UDP洪泛是一种拒绝服务攻击,其中大量的用户数据报协议(UDP)数据包被发送到目标服务器,目的是压倒该设备的处理和响应能力。防火墙保护目标服务器也可能因UDP泛滥而耗尽,从而导致对合法流量的拒绝服务。

UDP Flood攻击如何工作?

UDP Flood主要通过利用服务器响应发送到其中一个端口的UDP数据包所采取的步骤。在正常情况下,当服务器在特定端口接收到UDP数据包时,会经过两个步骤:

服务器首先检查是否正在运行正在侦听指定端口的请求的程序。
如果没有程序在该端口接收数据包,则服务器使用ICMP(ping)数据包进行响应,以通知发送方目的地不可达。
可以在酒店接待员路由呼叫的上下文中考虑UDP洪水。首先,接待员接收到呼叫者要求连接到特定房间的电话。接待员然后需要查看所有房间的清单,以确保客人在房间中可用,并愿意接听电话。接待员意识到客人没有接听电话时,必须先接听电话并告知来电者客人不会接听电话。如果突然间所有的电话线同时亮起来,那么他们就会很快被淹没。

当服务器接收到每个新的UDP数据包时,它将通过步骤来处理请求,并利用该过程中的服务器资源。发送UDP报文时,每个报文将包含源设备的IP地址。在这种类型的DDoS攻击期间,攻击者通常不会使用自己的真实IP地址,而是会欺骗UDP数据包的源IP地址,从而阻止攻击者的真实位置被暴露并潜在地饱和来自目标的响应数据包服务器。

由于目标服务器利用资源检查并响应每个接收到的UDP数据包的结果,当接收到大量UDP数据包时,目标的资源可能会迅速耗尽,导致对正常流量的拒绝服务。

如何缓解UDP洪水攻击?

大多数操作系统部分限制了ICMP报文的响应速率,以中断需要ICMP响应的DDoS攻击。这种缓解的一个缺点是在攻击过程中,合法的数据包也可能被过滤。如果UDP Flood的容量足够高以使目标服务器的防火墙的状态表饱和,则在服务器级别发生的任何缓解都将不足以应对目标设备上游的瓶颈。

什么是SYN Flood攻击?

SYN Flood(半开放攻击)是一种拒绝服务(DDoS)攻击,其目的是通过消耗所有可用的服务器资源使服务器不可用于合法流量。通过重复发送初始连接请求(SYN)数据包,攻击者能够压倒目标服务器机器上的所有可用端口,导致目标设备根本不响应合法流量。

SYN Flood攻击如何工作?

通过利用TCP连接的握手过程,SYN Flood攻击工作。在正常情况下,TCP连接显示三个不同的进程以进行连接。

1.首先,客户端向服务器发送SYN数据包,以便启动连接。
2.服务器响应该初始包与SYN / ACK包,以确认通信。
3.最后,客户端返回ACK数据包以确认从服务器接收到的数据包。完成这个数据包发送和接收序列后,TCP连接打开并能发送和接收数据。

为了创建拒绝服务,攻击者利用这样的事实,即在接收到初始SYN数据包之后,服务器将用一个或多个SYN / ACK数据包进行响应,并等待握手中的最后一步。这是它的工作原理:

攻击者向目标服务器发送大量SYN数据包,通常会使用欺骗性的IP地址。
然后,服务器响应每个连接请求,并留下开放端口准备好接收响应。
当服务器等待从未到达的最终ACK数据包时,攻击者继续发送更多的SYN数据包。每个新的SYN数据包的到达导致服务器暂时维持新的开放端口连接一段时间,一旦所有可用端口被使用,服务器就无法正常工作。

在网络中,当服务器断开连接但连接另一端的机器没有连接时,连接被认为是半开的。在这种类型的DDoS攻击中,目标服务器不断离开打开的连接,等待每个连接超时,然后端口再次可用。结果是这种攻击可以被认为是“半开攻击”。

SYN洪水可以以三种不同的方式发生:

直接攻击IP地址不被欺骗的SYN Flood被称为直接攻击。在这次攻击中,攻击者根本不掩盖其IP地址。由于攻击者使用具有真实IP地址的单个源设备来创建攻击,因此攻击者极易受到发现和缓解的影响。为了在目标机器上创建半开状态,黑客可以防止其机器响应服务器的SYN-ACK数据包。这通常是通过阻止除SYN数据包之外的传出数据包的防火墙规则来实现的,或者在到达恶意用户机器之前过滤任何传入的SYN-ACK数据包。实际上,这种方法很少使用(如果有的话),因为减轻是非常简单的 – 只是阻止每个恶意系统的IP地址。
欺骗性攻击:恶意用户也可以欺骗他们发送的每个SYN数据包上的IP地址,以抑制缓解工作,使其身份更难发现。虽然数据包可能被欺骗,但这些数据包可能会被追溯到其来源。很难做这种侦探工作,但并不是不可能的,特别是如果互联网服务提供商(ISP)愿意帮助的话。
分布式攻击(DDoS):如果使用僵尸网络创建攻击,则将攻击溯源到源的可能性很低。对于增加的混淆级别,攻击者可能会使每个分布式设备也欺骗发送数据包的IP地址。如果攻击者正在使用诸如未来僵尸网络的僵尸网络,他们通常不会关心被感染设备的IP掩蔽
通过使用SYN Flood攻击,恶意攻击者可以尝试在目标设备或服务中创建拒绝服务,其流量大大低于其他DDoS攻击。为了使目标周边的网络基础设施饱和,SYN攻击只需要比目标操作系统中可用的积压更大的体积攻击。如果攻击者能够确定积压的大小,并且在超时之前每个连接将被打开多长时间,攻击者可以定位禁用系统所需的确切参数,从而将总流量减少到最小必要量以创建拒绝服务。

如何减轻SYN洪水攻击?

长期以来已知SYN洪水脆弱性,并且已经采用了许多缓解途径。几种方法包括:

增加积压队列

目标设备上的每个操作系统都具有一定数量的半开放连接。对大量SYN数据包的一个响应是增加操作系统允许的可能半开连接的最大数量。为了成功增加最大积压,系统必须预留额外的内存资源来处理所有新的请求。如果系统没有足够的内存来处理增加的积压队列大小,系统性能将受到负面影响,但仍然可能优于拒绝服务。

回收最早的半开TCP连接

一旦积压已被填补,另一个缓解策略就是覆盖最早的半开式连接。这种策略要求合法连接可以在比可以填充恶意SYN数据包的积压时间更短的时间内完全建立。当攻击量增加时,或者如果积压量太小而不实际,这种特定的防御就会失败。

SYN饼干

这个策略涉及服务器创建一个cookie。为了避免在积压已经被填满的情况下连接丢失的风险,服务器使用SYN-ACK数据包对每个连接请求进行响应,然后从积压中删除SYN请求,从存储器中删除请求并使端口打开,准备建立新的连接。如果连接是合法请求,并且最终的ACK数据包从客户端计算机发送回服务器,则服务器将重建(有一些限制)SYN积压队列条目。尽管这种缓解措施确实丢失了有关TCP连接的一些信息,但是优于允许合法用户因攻击而发生拒绝服务。

什么是DNS Flood?

域名系统(DNS)服务器是互联网的“电话簿”; 它们是Internet设备能够查找特定Web服务器以便访问Internet内容的路径。DNS Flood是一种分布式拒绝服务攻击(DDoS),攻击者会洪泛一个特定域的DNS服务器,以试图破坏该域的DNS解析。如果用户无法找到电话簿,则无法查找该地址以便调用特定资源。通过破坏DNS解析,DNS洪水攻击将危及网站,API或Web应用程序响应合法流量的能力。

DNS泛滥攻击如何工作?

域名系统的功能是在容易记住的名称(例如example.com)之间进行翻译,难以记住网站服务器的地址(例如192.168.0.1),因此成功攻击DNS基础架构使得大多数人无法使用互联网。随着高带宽互联网物联网(IoT)僵尸网络如Mirai的兴起,DNS洪水攻击构成了一种相对较新型的基于DNS的攻击。DNS泛滥攻击使用IP摄像机,DVR盒和其他IoT设备的高带宽连接直接淹没主要提供商的DNS服务器。来自物联网设备的请求数量超过了DNS提供商的服务,并阻止合法用户访问提供商的DNS服务器。

DNS泛滥攻击与DNS放大攻击不同。与DNS洪水不同,DNS放大攻击反映和放大不安全的DNS服务器的流量,以隐藏攻击的起源并提高其有效性。DNS扩展攻击使用具有较小带宽连接的设备向不安全的DNS服务器发出大量请求。这些设备对于非常大的DNS记录提出了许多小的请求,但是在提出请求时,攻击者将返回地址设置为预期的受害者。扩展允许攻击者只用有限的攻击资源来取出更大的目标。

如何减轻DNS Flood攻击?

DNS泛滥代表了传统的基于放大的攻击方式的变化。利用易于访问的高带宽僵尸网络,攻击者现在可以针对大型组织。在妥协的IoT设备可以更新或替换之前,承受这些类型攻击的唯一方法是使用非常大且高度分布的DNS系统,可以实时监控,吸收和阻止攻击流量。

什么是SSDP DDoS攻击?

简单服务发现协议(SSDP)攻击是基于反射的 分布式拒绝服务(DDoS)攻击,利用通用即插即用(UPnP)网络协议,以便将大量的流量发送到目标受害者,压倒性目标的基础设施和使其资源脱机。

SSDP攻击如何工作?

一般情况下,SSDP协议用于允许UPnP设备向网络上的其他设备广播其存在。例如,当UPnP打印机连接到典型网络时,它在接收到 IP地址之后,打印机能够通过向称为组播地址的特殊IP地址发送消息来向网络上的计算机通告其服务。多播地址然后告诉网络上所有的计算机关于新的打印机。一旦计算机听到关于打印机的发现信息,它就向打印机发出请求,以完整地描述其服务。然后,打印机将直接对该计算机进行响应,并提供其所提供的所有内容。SSDP攻击通过要求设备对目标受害者做出响应,利用最终的服务请求。

以下是典型SSDP DDoS攻击的6个步骤:

1.首先,攻击者进行扫描,寻找可用作放大因子的即插即用设备。
2.随着攻击者发现网络设备,他们创建了所有响应的设备的列表。
3.攻击者使用目标受害者的欺骗地址创建 UDP数据包 。
4.攻击者然后使用 僵尸网络向每个即插即用设备发送欺骗性发现数据包,通过设置某些标志,特别是ssdp:rootdevice或ssdp:all请求尽可能多的数据。
5.因此,每个设备将向目标受害者发送一个数据量高达攻击者请求大约30倍的数据。
6.然后,目标从所有设备接收大量流量,并且变得不堪重负,可能导致对合法流量的拒绝服务。

SSDP攻击如何缓解?

对于网络管理员来说,一个关键的缓解措施是在防火墙上阻止端口1900上的传入UDP流量。如果流量不足以压倒网络基础架构,则从该端口过滤流量将可能减轻此类攻击。要深入了解SSDP攻击和更多的缓解策略,请浏览 有关SSDP攻击的技术细节。

你想知道你是否有一个可以用于DDoS攻击的易受攻击的SSDP服务?如前所述,我们创建了一个免费的工具来检查您的公共IP是否有任何暴露的SSDP设备。 检查SSDP DDoS漏洞。

 

什么是DNS放大攻击?

这种DDoS攻击是基于反射的体积分布式拒绝服务(DDoS)攻击,其中攻击者利用开放DNS解析器的功能,以便以放大的流量来压倒目标服务器或网络,从而使服务器和其周边基础设施无法进入。

DNS放大攻击如何工作?

所有放大攻击都会利用攻击者与目标网络资源之间的带宽消耗差异。当成本的差异在许多请求中被放大时,由此造成的流量可能会破坏网络基础设施。通过发送导致大量响应的小型查询,恶意用户能够从更少的角度获得更多。通过使僵尸网络中的每个机器人都有相似的请求来乘以这个放大倍率,攻击者既可以从检测中进行混淆,也可以获得大大增加攻击流量的好处。

DNS扩大攻击中的一个机器人可以被认为是一个恶意的少年打电话给餐厅的上下文,并说“我会有一件事,请打电话给我,告诉我我的整个订单。”当餐厅要求一个回拨号码,给出的数字是目标受害者的电话号码。然后,该目标从餐厅接收到他们没有请求的大量信息的呼叫。

由于每个机器人要求使用被欺骗的IP地址打开DNS解析器,IP地址已被更改为目标受害者的真实源IP地址,则目标接收到来自DNS解析器的响应。为了创建大量的流量,攻击者以一种可以从DNS解析器生成尽可能大的响应的方式来构造请求。因此,目标接收到攻击者的初始流量的放大,并且它们的网络被伪造的流量阻塞,导致拒绝服务。

DNS扩展可以分为四个步骤:

1.攻击者使用受损端点将具有欺骗IP地址的UDP数据包发送到DNS递归。数据包上的欺骗地址指向受害者的真实IP地址。
2.每个UDP数据包向DNS解析器发出请求,通常会传递诸如“ANY”之类的参数,以便尽可能接收最大的响应。
收到请求后,通过响应尝试有用的DNS解析器向欺骗的IP地址发送大量响应。
3.目标的IP地址接收到响应,并且周围的网络基础设施变得不堪重负,流量很大,导致拒绝服务。
4.虽然一些请求不足以占用网络基础架构,但是当该序列在多个请求和DNS解析器之间相乘时,目标接收的数据的放大可能是巨大的。探索有关反射攻击的更多 技术细节。

如何减轻DNS放大攻击?

对于运行网站或服务的个人或公司,减轻选择是有限的。这是因为个人的服务器虽然可能是目标,但并不是感觉到体积攻击的主要影响。由于产生的流量大,服务器周围的基础设施感受到影响。互联网服务提供商(ISP)或其他上游基础架构提供商可能无法处理传入的流量,而不会被淹没。因此,ISP可能会将目标受害者的IP地址的所有流量黑洞,保护自己并将目标的站点脱机。除了防垃圾防御服务,如Cloudflare DDoS保护之外,缓解策略主要是预防性的互联网基础架构解决方案。

减少打开DNS解析器的总数

DNS扩展攻击的重要组成部分是访问开放的DNS解析器。通过配置不良的DNS解析器暴露于Internet,所有攻击者需要做的是使用DNS解析器来发现它。理想情况下,DNS解析程序只能将其服务提供给来自受信任域的设备。在基于反射的攻击的情况下,开放的DNS解析程序将响应来自互联网上任何地方的查询,从而有可能被利用。限制DNS解析器,以便它只响应来自可信来源的查询,使服务器成为任何类型的扩增攻击的不良载体。

源IP验证 – 停止出站网络的欺骗性数据包

由于攻击者僵尸网络发送的UDP请求必须具有欺骗受害者IP地址的源IP地址,因此降低基于UDP的放大攻击的有效性的关键组件是Internet服务提供商(ISP)拒绝任何内部流量欺骗IP地址。如果从网络内部发送一个数据包,源地址使其看起来像源自网络外部,那么它很可能是一个欺骗的数据包,可以丢弃。Cloudflare强烈建议所有提供商实施入侵过滤,并​​且有时将与不知不觉中参与DDoS攻击并帮助他们实现其漏洞的ISP接触。

什么是NTP扩增攻击?

NTP扩增攻击是基于反射的体积 分布式拒绝服务(DDoS)攻击,其中攻击者利用网络时间协议(NTP)服务器功能,以便以放大的UDP 流量淹没目标网络或服务器 ,使目标及其周边基础设施无法进入定期流量。

NTP放大攻击如何工作?

所有放大攻击利用攻击者与目标网络资源之间的带宽成本差异。当成本的差异在许多请求中被放大时,由此造成的流量可能会破坏网络基础设施。通过发送导致大量响应的小型查询,恶意用户能够从更少的角度获得更多。当通过使僵尸网络中的每个机器人发出类似的请求来乘以该放大倍数时,攻击者既被检测并且获得了大大增加的攻击流量的好处。

DNS泛滥攻击与DNS放大攻击不同。与DNS洪水不同,DNS放大攻击反映和放大不安全的DNS服务器的流量,以隐藏攻击的起源并提高其有效性。DNS扩展攻击使用具有较小带宽连接的设备向不安全的DNS服务器发出大量请求。这些设备对于非常大的DNS记录提出了许多小的请求,但是在提出请求时,攻击者将返回地址设置为预期的受害者。扩展允许攻击者只用有限的攻击资源来取出更大的目标。

NTP扩充,很像DNS扩展,可以在恶意的少年打电话给餐厅的上下文中说,“我会有一件事,请打电话给我,告诉我我的整个订单。”当餐厅要求一个回拨号码,给出的数字是目标受害者的电话号码。然后,该目标从餐厅接收到他们没有请求的大量信息的呼叫。

网络时间协议旨在允许互联网连接的设备同步其内部时钟,并在互联网架构中起重要作用。通过利用某些NTP服务器上启用的monlist命令,攻击者能够将其初始请求流量乘以一个较大的响应。默认情况下,在旧设备上启用此命令,并响应已向NTP服务器发出的请求的最近600个源IP地址。来自其存储器中具有600个地址的服务器的monlist请求将比初始请求大206倍。这意味着拥有1 GB互联网流量的攻击者可能会发生200多GB的攻击,导致攻击流量大幅增加。

NTP扩增攻击可以分为四个步骤:

1.攻击者使用僵尸网络将具有欺骗IP地址的UDP数据包发送到启用其monlist命令的NTP服务器。每个数据包上的欺骗IP地址指向受害者的真实IP地址。
2.每个UDP数据包使用其monlist命令向NTP服务器发出请求,导致响应很大。
3.然后,服务器使用结果数据对欺骗地址进行响应。
4.目标的IP地址接收到响应,并且周围的网络基础设施变得不堪重负,流量很大,导致拒绝服务。

由于攻击流量看起来像来自有效服务器的合法流量,因此减轻这种攻击流量而不会将真正的NTP服务器从合法活动阻止,这是困难的。由于UDP数据包不需要握手,NTP服务器将向目标服务器发送大量响应,而不会验证该请求是否正确。这些事实加上内置命令,默认情况下发送一个很大的响应,使NTP服务器成为DDoS放大攻击的出色反映源。

如何减轻NTP扩增攻击?

对于运行网站或服务的个人或公司,减轻选择是有限的。这是因为个人的服务器虽然可能是目标,但并不是感觉到体积攻击的主要影响。由于产生的流量大,服务器周围的基础设施感受到影响。互联网服务提供商(ISP)或其他上游基础架构提供商可能无法处理传入的流量,而不会被淹没。因此,ISP可能会将目标受害者的IP地址的所有流量黑洞,保护自己并将目标的站点脱机。除了防垃圾防御服务,如Cloudflare DDoS保护之外,缓解策略主要是预防性的互联网基础架构解决方案。

禁用monlist – 减少支持monlist命令的NTP服务器数量。

修补monlist漏洞的简单解决方案是禁用该命令。版本4.2.7之前的所有版本的NTP软件默认情况下都是易受攻击的。通过将NTP服务器升级到4.2.7或更高版本,该命令被禁用,修补漏洞。如果不能升级,按照US-CERT说明将允许服务器的管理员进行必要的更改。

源IP验证 – 停止出现网络的欺骗性数据包

由于攻击者僵尸网络发送的UDP请求必须具有欺骗受害者IP地址的源IP地址,因此降低基于UDP的放大攻击的有效性的关键组件是Internet服务提供商(ISP)拒绝任何内部流量欺骗IP地址。如果从网络内部发送一个数据包,源地址使其看起来像源自网络外部,那么它很可能是一个欺骗的数据包,可以丢弃。Cloudflare强烈建议所有提供商实施入侵过滤,并​​且有时将与不知不觉参与DDoS攻击(违反BCP38)的ISP接触,并帮助他们实现其漏洞。

在NTP服务器上禁用monlist并在网络上实现入侵过滤,目前允许IP欺骗的组合是在到达其预期网络之前停止此类攻击的有效方法。