精华内容
下载资源
问答
  • 如何防护 DNS 放大攻击
    2021-12-28 11:25:35

    如何防护 DNS 放大攻击?

    对于运行网站或服务的个人或公司来说,缓解选择并不多。这是因为,尽管个人或公司的服务器可能是攻击目标,但其并非容量耗尽攻击影响最大的地方。鉴于攻击所产生的大量流量,服务器周围的基础设施感受到影响。互联网服务提供商(ISP)或其他上游基础设施提供商可能无法处理传入流量而不堪重负。因此,ISP 可能会将向受害者 IP 地址发送的所有流量传送到一个黑洞路由,以保护自己并将目标站点下线。除了象 Cloudflare DDoS 防护这样的异地保护服务外,缓解策略大多是预防性的互联网基础设施解决方案。

    减少开放 DNS 解析器的总数

    DNS 放大攻击的一个重要组成部分是对开放 DNS 解析器的访问权限。如果互联网上有配置不当的 DNS 解析器,那么攻击者只要找到这种 DNS 解析器就能加以利用。理想情况下,DNS 解析器应仅向源自受信任域名的设备提供服务。在基于反射的攻击中,开放 DNS 解析器将响应来自互联网任何位置的查询,因此有可能被利用。限制 DNS 解析器,使其仅响应来自受信任来源的查询,即可使服务器无法被用于任何类型的放大攻击。

    源 IP 验证 —— 阻止欺骗性数据包离开网络

    由于攻击者僵尸网络发送的 UDP 请求必须有一个伪造为受害者 IP 地址的源 IP 地址,对于基于 UDP 的放大攻击,降低其有效性的一个关键是互联网服务提供商(ISP)拒绝带有伪造 IP 地址的所有内部流量。如果一个从网络内部发送的数据包带有一个看起来像来自网络外部的源地址,那么它就有可能是伪造数据包并可被丢弃。Cloudflare 强烈建议所有提供商实施入口过滤,并不时联系无意中参与了 DDoS 攻击的 ISP,帮助其了解自己的漏洞。

    更多相关内容
  • 主要贡献: 我们发现了一种新方法,攻击者可以通过滥用中间件和审查基础设施,通过 TCP 发起反射拒绝服务 (DoS) 放大攻击。与现有的基于 UDP 的攻击相比,这些攻击可以产生更多数量级的放大。 这是第一次超越发送 ...

    看到“碳基体”的微博分享了这篇文章,正好感兴趣就看了一下做了一个翻译,主要是在google机翻基础上修改的,如有不恰当指出欢迎指正。

    简介

    这篇文章发表于USENIX SEC 2021,并且获得了USENIX SEC 2021 杰出论文奖。

    主要贡献:

    • 我们发现了一种新方法,攻击者可以通过滥用中间件和审查基础设施,通过 TCP 发起反射拒绝服务 (DoS) 放大攻击。与现有的基于 UDP 的攻击相比,这些攻击可以产生更多数量级的放大。
    • 这是第一次超越发送 SYN 数据包的 TCP 反射放大攻击,也是第一次基于 HTTP 的反射放大攻击。
    • 我们在野外发现了多种类型的中间件错误配置,这些错误配置可能会导致攻击者在技术上无限放大:通过发送单个数据包,攻击者可以向受害者发起源源不断的数据包流。

    总的来说,我们的结果表明审查基础设施对广阔的互联网构成的威胁比以前了解的更大。即使是在没有审查的民族国家中良性部署的防火墙和入侵防御系统,也可以使用我们发现的技术进行武器化。

    什么是反射放大攻击?

    反射放大攻击是 DoS 攻击者武器库中的强大工具。攻击者欺骗/伪造一个从受害者到开放服务器(例如,开放 DNS 解析服务器)的请求,服务器将响应发给受害者。如果响应大于欺骗/伪造的请求,服务器在 DoS 攻击中有效地放大了攻击者的带宽。

    简单地说:服务器向受害者发送的响应报文比攻击者向服务器发送的伪造的报文大

    在这里插入图片描述

    武器化中间件

    现今大多数 DoS 放大都是基于 UDP 的。这样做的原因是 TCP 需要 3 次握手,这使欺骗攻击变得复杂。每个 TCP 连接都以客户端发送 SYN 数据包开始,服务器以 SYN+ACK 响应,客户端以 ACK 数据包完成握手。3 次握手保护 TCP 应用程序免于成为放大器,因为如果攻击者发送带有欺骗性的源 IP 地址的 SYN 数据包,SYN+ACK 将发送给受害者,并且攻击者永远不会获得所需的 SYN+ACK 中包含的关键信息,来完成 3 次握手。在没有收到 SYN+ACK 的情况下,攻击者无法代表受害者发出有效请求。

    简单地说:TCP的情况下攻击者没有办法收到服务器响应的握手第二阶段报文SYN+ACK,也就缺少了对该报文进行回应的ACK所需的信息,无法建立TCP连接

    在这里插入图片描述
    3 次握手可有效防止利用 TCP 进行流量放大。但在这项工作中,我们发现大量网络中间件不符合 TCP 标准,可以被滥用来执行攻击。特别是,我们发现许多审查中间件会响应带有大块页面的欺骗审查请求,即使没有有效的 TCP 连接或握手。这些中间件可以被武器化以进行 DoS 放大攻击。

    中间件通常在设计上不符合 TCP 标准:许多中间件尝试处理非对称路由,其中中间件只能看到连接中的一个方向的数据包(例如,客户端到服务器)。但是这个特性让他们容易受到攻击:如果中间件注入的数据仅基于连接的一个方向,攻击者就可以欺骗 TCP 3 次握手的一个方向,并说服中间件存在有效连接。

    简单地说:中间件并没有实现TCP的标准,很多情况下只监控单向的报文,并根据数据包进行响应,其响应数据包较大,导致存在反射放大攻击。

    在这里插入图片描述在这里插入图片描述
    这留下了一些问题:触发这些中间件的最佳方式是什么,我们可以从中获得哪些放大因子?

    发现可以放大的中间件

    我们的目标是发现攻击者可以发送的数据包序列,以欺骗中间件注入响应,而无需完成真正的 3 次握手

    请注意,此目标不符合 TCP 标准。我们正在利用实现中的弱点,而不是 TCP 协议本身的设计。这意味着仅研究 TCP 协议是不够的,我们必须研究真正的中间件 TCP 实现。这提出了一个挑战:世界上有太多种类的中间件供我们购买,即使我们可以购买,支持民族国家审查基础设施的中间件通常也不会出售。

    因此,我们使用我们的工具 Geneva 来研究在野外审查中间件。

    为了找到要研究的中间件,我们使用了 CensoredPlanet 的 Quack 工具发布的公共数据。Quack 是一种扫描器,它在审查中间件的路径上查找 IP 地址。我们使用这些数据来识别位于世界各地的 184 个样本中间件,这些中间件通过注入块页面来执行 HTTP 审查。

    Geneva (Genetic Evasion) 是我们设计的一种遗传算法,旨在自动发现逃避审查的新方法,但从本质上讲,Geneva 是一个数据包级网络 Fuzzer。我们修改了 Geneva 的 fitness function,以奖励它使引发的响应尽可能大,然后针对所有 184 个中间件训练 Geneva。

    简单地说:奖励可以引发尽可能大的响应的情况,训练数据包级别的网络Fuzzer,Geneva

    在这里插入图片描述
    我们发现了 5 个数据包序列,这些数据包序列触发了中间件的放大响应。其中每一个都包含一个格式良好的 HTTP GET 请求,用于某些被中间件禁止的域(禁止请求)

    • SYN 包(带禁止请求)
    • PSH 数据包
    • PSH+ACK 包
    • SYN 数据包,后跟包含禁止请求的 PSH 数据包
    • SYN 数据包,后跟包含禁止请求的 PSH+ACK 数据包

    我们还发现了另外 5 个变种,它们进一步增加了一小部分中间件的放大率;攻击者可以将这些用于特定的中间件。有关这些修改的更多详细信息,请参阅我们的论文。

    为了触发这些中间件的响应,我们需要一个被每个中间件审查或禁止的域,但大多数审查中间件使用不同的阻止列表,因此很难找到一个域来触发每个中间件的阻止页面。 我们分析了 Quack 数据集以找到触发最多中间件响应的 5 个域,这些域恰好是五个不同的类型:

    • www.youporn.com(色情)
    • www.roxypalace.com(赌博)
    • plus.google.com(社交媒体)
    • www.bittorrent.com(文件共享)
    • www.survive.org.uk(性健康/教育)

    我们还使用了 example.com 和 没有域 作为对照实验。

    寻找放大器

    我们扫描了整个 IPv4 因特网以测量有多少 IP 地址允许反射放大。 为此,我们修改了 zmap 扫描器以构建由 Geneva 识别的所有五个数据包序列。

    我们总共扫描了整个 IPv4 因特网 35 次(5 个数据包序列 × 7 个测试域)。我们测量了我们得到的响应,以计算我们从每个 IP 地址得到的放大系数。

    我们的 zmap 版本是开源的,可在此处获得。

    结果

    在这里插入图片描述

    上图是我们发现的攻击类型。

    粗箭头表示放大;红色表示触发放大的数据包。

    a. 正常 TCP 反射,其中攻击者发送单个 SYN 数据包以引出 SYN+ACK。
    b. 中间件反射,其中攻击者发送数据包序列以触发阻止页面或审查响应。
    c. 组合目的地和中间件反射,其中攻击者可以从中间件和最终目的地引出响应。
    d. 路由环路反射,其中触发数据包被困在路由环路中。
    e. 受害者持续反射,其中受害者的默认响应会触发来自中间件或目的地的额外数据包。

    我们发现无限放大是由** (d) 无法减少 TTL 的路由循环 (e) 受害者持续反射引起的**。

    回想一下,我们正在寻找中间件中 TCP 实现的弱点,而不是 TCP 协议本身。 此外,每个中间件都有自己的注入策略和阻止页面:这意味着这次攻击没有单一的放大系数,因为我们触发的每个中间件都不同!

    相反,我们可以查看响应大小的分布,以了解攻击者可用的放大系数。

    在这里插入图片描述

    上图是我们在所有 35 次扫描中为每个 IP 地址收到的最大放大系数的图表,按 x 轴上的放大系数排序(放大倍数大的 IP 排在前)。 在 y 轴上,您可以看到 IP 地址提供的放大系数。

    在此图表上,您可以看到放大系数的范围很大 - 从超过 1亿 到小于 1。

    无限放大

    接下来,我们将检查上图 top 的 IP 地址,我们可以看到放大系数在 100w 到 1亿 之间。这些 IP 地址是我们的超级放大器,提供了巨大的放大系数。事实上,这些放大系数可能被低估了。这些数字来自我们的扫描停止收集数据的地方,而不是 IP 地址停止向我们发送数据的地方。这里发生了什么?

    这是我们发现技术上无限放大系数的地方。放大系数的计算方法是放大器接收的字节数除以发送的字节数。我们发现放大器一旦被攻击者的单个数据包序列触发,就会向受害者发送无休止的数据包流。在我们的测试中,其中一些数据包流持续了数天,通常是放大器链路可以提供的全带宽。

    我们发现了这种无限放大的两个原因:路由环路和受害者的持续放大。

    路由环路

    在这里插入图片描述

    当数据包在从一个 IP 地址路由到另一个 IP 地址时在穿越环路时卡住时,两个 IP 地址之间就会发生路由环路。包含审查中间件的路由循环为攻击者提供了新的好处:每次触发数据包环绕路由循环时,它们都会重新触发审查中间件

    数据包在网络中存活的跳数通常由 IP 数据包中的 TTL 字段(生存时间)调节:每次数据包从一个路由器传递到下一个路由器时,它的 TTL 值都会递减.如果 TTL 达到 0,则丢弃数据包。最大 TTL 值为 255:这意味着可以将触发序列发送到放大路由循环的攻击者可以免费获得额外的大约 250 倍的放大。

    比普通路由循环更危险的是无限路由循环。如果是一条不递减 TTL 值的循环路由路径,导致数据包永远循环(或直到发生随机数据包丢弃),则会发生无限路由循环。我们发现了少量无限路由循环,它们穿越了提供无限放大的审查基础设施(特别是在中国和俄罗斯)。

    受害者的持续放大

    在这里插入图片描述

    我们发现无限放大的第二个原因是受害者持续循环。当受害者收到意外的 TCP 数据包时,正确的客户端响应是使用 RST 数据包进行响应。我们发现少数放大器在处理来自受害者的任何额外数据包时会重新发送它们的块页面 - 包括 RST。 这会产生一个无限的数据包风暴:攻击者向受害者引出单个块页面,这会导致受害者发出 RST,从而导致放大器产生新的块页面,从而导致受害者发出 RST,不断循环

    由于两个原因,受害者持续放大的情况特别危险。首先,受害者的默认行为支持对自身的攻击。其次,这种攻击会导致受害者在淹没下行链路的同时淹没自己的上行链路。

    这些真的是中间件吗?

    是的,我们的结果表明如此。为了测试这一点,我们进行了一个 TTL 限制实验:

    我们选取了前 100 万个放大器,跟踪路由到它们以确定它们相距多少跳,然后重新发送我们的探针并降低 TTL 数。这确保了我们的探测不会到达目标主机,但可能会穿过审查中间件,所以如果我们仍然看到响应,我们就知道它们是由中间件生成的。我们确认前 100 万个放大器中约有 83% 是由中间件引起的。

    对民族国家的影响是什么?

    我们发现世界各国的民族国家审查基础设施也可以被武器化。这些民族国家中的大多数都是弱放大器(例如,中国的防火墙仅提供大约 1.5 倍的放大),但其中一些提供更具破坏性的放大,例如沙特阿拉伯(大约 20 倍的放大)。

    民族国家的真正挑战在于,它们的审查基础设施通常会处理所有进出该国的流量。 这意味着与其他放大攻击不同,受害者接收到的流量的源 IP 地址是放大器本身,中间盒后面的每个 IP 地址都可以作为流量源出现。 换句话说:放大的民族国家内的每个 IP 地址都可以是一个放大器

    攻击危害

    攻击者可以无限放大会造成多少伤害? 在这种情况下,作为指标的“放大系数”开始失效。 大多数时候,当人们询问放大系数时,他们是在问攻击者可以用给定的攻击向量造成多大的伤害。如果攻击者可以在技术上引发无限放大系数,但在链路完全饱和之前仅达到 64 kbps,则攻击者可以造成的破坏量是有限的

    **一个更好的问题:攻击者可以通过这次攻击获得的最大带宽是多少?**不幸的是,这是最难从伦理学上研究的。为了测量给定放大器的最大容量,我们必须使每个网络的链路完全饱和,这可能对该网络的用户产生真正的负面影响。目前,攻击者可从这次攻击中获得的真正能力尚不清楚。

    防御

    防御这种攻击是困难的。 传入的大量流量来自 TCP 端口 80(正常 HTTP 流量),响应通常是格式良好的 HTTP 响应。

    由于中间件会欺骗它们生成的流量的 IP 地址,这意味着攻击者可以将反射流量的源 IP 地址设置为中间件后面的任何 IP 地址。 对于某些网络,这是少量 IP 地址,但如果攻击者使用国家审查基础设施,则攻击者可以使攻击流量来自该国家/地区的任何 IP 地址。 这使得受害者很难在攻击期间丢弃来自违规 IP 地址的流量

    负责任的披露

    2020 年 9 月,我们与多个国家级 CERT(计算机应急响应小组)、DDoS 缓解服务和防火墙制造商联系并共享了我们论文的高级副本。我们还与多个 DDoS 缓解服务和美国 CERT 进行了进一步的会议,以进一步讨论缓解问题,并一直与 DDoS 缓解服务保持沟通。

    不幸的是,我们能做的只有这么多。完全解决这个问题将需要各国投资于可能削弱其审查基础设施的变革,我们认为这不太可能发生

    FAQ

    1. 谁是脆弱的?我是否需要生活在受审查的国家才能成为受害者?

      不幸的是,我们发现这种攻击几乎可以针对任何人,无论您是否生活在审查制度中。

    2. 谁容易被武器化?

      大多数民族国家审查基础设施目前都很脆弱,许多现成的商业防火墙也是如此。我们的研究旨在提供此问题的全局视图,而不是针对单个防火墙类型,因此我们尚不知道易受此攻击的活跃使用的防火墙的完整列表。

    3. 攻击者可以通过这种攻击获得多大的放大系数?

      我们正在利用中间件对 TCP 协议的实现,这与大多数利用协议规范本身的先前攻击不同。因此,我们不能只为我们的放大因子指定一个数字:它与每个中间件都不同!

      但总的来说,我们发现数十万个 IP 地址超过了 DNS 和 NTP 的放大系数,其中数百个提供的放大系数大于著名的 memcached (51,000x)。

    4. 您发现的最高放大系数是多少?

      从技术上讲,无限。放大系数的计算方法是放大器接收的字节数除以发送的字节数。我们发现放大器一旦被攻击者的单个数据包序列触发,就会向受害者发送无休止的数据包流。在我们的测试中,其中一些数据包流持续了数天,而另一些则在其链路可以提供的全部带宽下。

      然而,在这种情况下,作为度量的“放大系数”开始失效。大多数时候,当人们询问放大系数时,他们是在问攻击者可以用给定的攻击向量造成多大的伤害。如果攻击者可以引发无限放大系数,但仅以 64 kbps 的最大速度,攻击者可以造成的破坏量是有限的。

      一个更好的问题:攻击者可以通过这次攻击获得的最大带宽是多少?不幸的是,这是最难从伦理学上研究的。为了测量给定放大器的最大容量,我们必须使每个网络的链路完全饱和,这可能对该网络的用户产生真正的负面影响。目前,攻击者可从这次攻击中获得的真正能力尚不清楚。

    5. 谁需要解决这个问题?

      有两个角度可以解决这个问题:防止攻击者欺骗他们的源 IP 地址和保护中间件不被错误地注入流量。不幸的是,多年来一直在努力完全防止源 IP 地址欺骗。彻底解决这个问题将需要每个易受攻击的防火墙制造商更新他们的中间件,以及每个部署了易受攻击的中间件以升级其基础设施的组织和审查国家。

      不幸的是,这个问题不太可能很快得到完全解决。

    6. 我应该担心吗?

      大多数人可能不需要担心这种攻击,但我们一直在使用 DDoS 缓解服务,因此如果攻击在野外使用,他们可以做好准备。

    7. 这种攻击是否在野外被发现?

      还没有,据我们所知。我们正在使用不同的 DDoS 缓解服务来监控它是否被使用。

    8. 这与之前的放大攻击相比如何?

      我们的结果表明,这种攻击至少与现有最大的基于 UDP 的放大攻击一样危险。我们发现数百个带有中间盒的 IP 地址提供的放大系数大于 memcached (51,000x),以及数十万个提供放大系数大于 DNS 和 NTP 的 IP 地址。

    9. 是否负责任地披露了这次攻击?

      是的,但我们的能力是有限的。 2020 年 9 月,我们与多个国家级 CERT、DDoS 缓解服务和防火墙制造商联系并共享了我们论文的副本。我们还与多个 DDoS 缓解服务和美国 CERT 会议,以进一步讨论缓解问题。

      不幸的是,完全解决这个问题将需要各国投资于可能削弱审查基础设施的变革,我们认为这不太可能发生。

    10. 为什么你的攻击没有 logo 或花哨的名字?

      如果您有任何建议,请给我们留言!

    参考

    Weaponizing Middleboxes for TCP Reflected Amplification
    寻找可用的放大器的源码
    usenix摘要
    PDF
    PDF
    PPT
    Talk
    Weaponizing Censorship Infrastructure for Availability Attacks

    展开全文
  • 摘 要:提出了一种利用NTP反射型放大攻击的特点,通过对中国大陆开放公共NTP服务的主机定期发起主动探测(执行monlist指令),利用返回信息对全球范围NTP反射类DRDoS攻击事件进行长期追踪观察和统计分析。...
  • NTP放大攻击

    2021-05-11 05:08:50
    首先NTP放大需要一台可以伪造IP的服务器,不能伪造欺骗的没有任何效果的。先上个效果图。ps:你需要一台服务器,而且能欺骗的服务器,不是服务器都可以的。不能欺骗的服务器攻击是没有任何效果的 这次带来安装攻击脚本...

    0818b9ca8b590ca3270a3433284dd417.png

    首先NTP放大需要一台可以伪造IP的服务器,不能伪造欺骗的没有任何效果的。

    先上个效果图。

    ps:你需要一台服务器,而且能欺骗的服务器,不是服务器都可以的。不能欺骗的服务器攻击是没有任何效果的

    0818b9ca8b590ca3270a3433284dd417.png

    这次带来安装攻击脚本的教学,此次不是首创,如有雷同,那就是巧合了!

    下面进入教学

    1.首先我们要准备攻击脚本,这个是必须的。

    进入重点:

    2.上传脚本到服务器

    3.重命名为.c。例如:ntp.c(重要的是要保存为.C)

    4.转到您的服务器终端

    输入环境安装命令:yum install gcc libcap libpcap libpcap-devel

    0818b9ca8b590ca3270a3433284dd417.png

    5.通过键入编译脚本

    命令:gcc -lpthread ntp.c -lpcap -o ntp

    0818b9ca8b590ca3270a3433284dd417.png

    6.现在,您可以通过键入使用脚本

    命令:./ntp

    0818b9ca8b590ca3270a3433284dd417.png

    7.如果以上命令你输入无误,那么攻击将正常进行。

    0818b9ca8b590ca3270a3433284dd417.png

    我们先来看一下放大攻击的原理(配图)

    0818b9ca8b590ca3270a3433284dd417.png

    下面进入正题

    准备:支持伪造的LINUX主机,攻击脚本,放大列表 (PS NTP需要扫表)

    1.先将列表如:ntp.txt 和脚本 ntp.c 安装到服务器里

    2.输入命令 :./ntp 255.255.255.255 80 ntp.txt 2 -1 60

    把255.255.255.255 替换成你的目标IP即可。

    PS:  仅供学习交流 ,误用于非法用途。       防NTP DDOS建议  屏蔽UDP协议即可。

    你会喜欢

    0818b9ca8b590ca3270a3433284dd417.png

    展开全文
  • DDOS攻击之NTP放大攻击

    2020-12-24 08:52:46
    NTP放大攻击是一种基于反射的体积分布式拒绝服务(DDoS)攻击,其中攻击者利用网络时间协议(NTP)服务器功能,以便用一定数量的UDP流量压倒目标网络或服务器,使常规流量无法访问目标及其周围的基础设施。NTP放大攻击...

    NTP放大攻击是一种基于反射的体积分布式拒绝服务(DDoS)攻击,其中攻击者利用网络时间协议(NTP)服务器功能,以便用一定数量的UDP流量压倒目标网络或服务器,使常规流量无法访问目标及其周围的基础设施。

    NTP放大攻击如何工作?

    所有放大攻击都利用了攻击者与目标Web资源之间的带宽成本差异。当在许多请求中放大成本差异时,由此产生的流量可能会破坏网络基础设施。通过发送导致大量响应的小查询,恶意用户可以从更少的内容获得更多。当具有在每个机器人这个倍数乘以僵尸网络进行类似的请求,攻击者是从检测既混淆和收获大大提高了攻击流量的好处。

    DNS泛洪攻击与DNS放大攻击不同。与DNS泛洪不同,DNS放大攻击反映和放大不安全的DNS服务器上的流量,以隐藏攻击的起源并提高其有效性。DNS放大攻击使用带宽较小的设备向不安全的DNS服务器发出大量请求。这些设备对非常大的DNS记录提出了许多小请求,但在发出请求时,攻击者伪造的返回地址是预期受害者的地址。放大允许攻击者仅使用有限的攻击资源来获取更大的目标。

    NTP放大,就像DNS放大一样,可以被认为是一个恶意的少年打电话给餐馆并说“我将拥有一切,请给我回电话并告诉我我的整个订单。”当餐厅要求时一个回叫号码,给出的号码是目标受害者的电话号码。然后,目标接收来自餐馆的电话,其中包含许多他们未请求的信息。

    网络时间协议旨在允许Internet连接的设备同步其内部时钟,并在Internet体系结构中发挥重要作用。通过利用在某些NTP服务器上启用的monlist命令,攻击者能够将其初始请求流量相乘,从而产生较大的响应。默认情况下,在旧设备上启用此命令,并使用已对NTP服务器发出的请求的最后600个源IP地址进行响应。来自其内存中具有600个地址的服务器的monlist请求将比初始请求大206倍。这意味着拥有1 GB Internet流量的攻击者可以提供200 GB以上的攻击 - 导致攻击流量大幅增加。

    NTP放大攻击可以分为四个步骤:

    攻击者使用僵尸网络将带有欺骗IP地址的UDP数据包发送到启用了monlist命令的NTP服务器。每个数据包上的欺骗IP地址指向受害者的真实IP地址。每个UDP数据包使用其monlist命令向NTP服务器发出请求,从而产生大量响应。然后,服务器使用结果数据响应欺骗地址。目标的IP地址接收响应,周围的网络基础设施因流量泛滥而变得不堪重负,导致拒绝服务。

    由于攻击流量看起来像来自有效服务器的合法流量,因此很难在不阻止真正NTP服务器合法活动的情况下减轻此类攻击流量。由于UDP数据包不需要握手,因此NTP服务器将向目标服务器发送大量响应,而不验证请求是否可信。这些事实与内置命令相结合,默认情况下发送大量响应,使NTP服务器成为DDoS放大攻击的极好反射源。

    如何减轻NTP放大攻击?

    对于运营网站或服务的个人或公司,缓解选项是有限的。这是因为个人的服务器虽然可能是目标,但却不会感受到体积攻击的主要影响。由于产生了大量流量,服务器周围的基础设施会产生影响。Internet服务提供商(ISP)或其他上游基础架构提供商可能无法处理传入流量而不会变得不堪重负。因此,ISP可能将所有流量黑洞到目标受害者的IP地址,保护自己并使目标站点脱机。除Cloudflare DDoS保护等非现场保护服务外,缓解策略主要是预防性互联网基础设施解决方案。

    禁用monlist - 减少支持monlist命令的NTP服务器的数量。

    修补monlist漏洞的简单解决方案是禁用该命令。默认情况下,版本4.2.7之前的所有版本的NTP软件都是易受攻击的。通过将NTP服务器升级到4.2.7或更高版本,该命令将被禁用,从而修补漏洞。如果无法升级,则按照US-CERT说明将允许服务器的管理员进行必要的更改。

    源IP验证 - 停止欺骗性数据包离开网络。

    由于攻击者僵尸网络发送的UDP请求必须具有欺骗受害者IP地址的源IP地址,因此降低基于UDP的放大攻击有效性的关键组件是Internet服务提供商(ISP)拒绝任何内部流量欺骗的IP地址。如果从网络内部发送一个数据包,其源地址使其看起来像是在网络外部发起的,那么它可能是一个欺骗性数据包,可以被丢弃。Cloudflare强烈建议所有提供商实施入口过滤,有时会联系到不知情地参与DDoS攻击(违反BCP38)并帮助他们实现漏洞的ISP。

    在NTP服务器上禁用monlist并在目前允许IP欺骗的网络上实现入口过滤的组合是在到达其预期网络之前阻止此类攻击的有效方法。

    Cloudflare如何减轻NTP放大攻击?

    通过正确配置的防火墙和足够的网络容量(除非你的大小与Cloudflare一样,这并不容易实现),阻止NTP放大攻击等反射攻击是微不足道的。虽然攻击将针对单个IP地址,我们的Anycast网络将所有攻击流量分散到不再具有破坏性的点。Cloudflare能够利用我们的规模优势在多个数据中心内分配攻击的重量,平衡负载,从而不会中断服务,攻击永远不会超过目标服务器的基础架构。在最近六个月的窗口中,我们的DDoS缓解系统“Gatebot”检测到6,329次简单反射攻击(每40分钟一次),网络成功地减轻了所有这些攻击。

    展开全文
  • UDP反射放大攻击

    千次阅读 2020-04-10 13:35:02
    UDP反射放大攻击放大攻击原理 放大攻击原理 很多协议在响应包处理时,要远大于请求包,一个字节的请求十个字的响应,十个字节的请求一百个字的响应,这就是UDP反射放大攻击最根本的原理。以下将Memcached服务作为...
  • DSN2020最佳论文《CDN Backfired: Amplification Attacks Based on ...该论文提出了一种利用CDN对所保护的源站进行放大攻击的方法(SBR),以及一种消耗CDN资源的放大攻击方法(OBR)。首发:河马安全公众号。
  • 马里兰大学和科罗拉多大学博尔德分校的一个团队使用人工智能算法揭示了该技术,他们说这是同类中第一个基于 TCP 的 DDoS 放大攻击。 过去,反射放大攻击主要限于基于用户数据报协议 (UDP) 的协议。 然而,该团队...
  • 所有放大攻击都利用攻击者和目标 Web 资源之间的带宽消耗差异。当消耗差异经过多次请求而被放大时,所产生的流量可导致网络基础设施中断。通过发送小型请求来导致大规模响应,恶意用户就能达到四两拨千斤的效果。当...
  • scapy是python写的一个功能强大的交互式数据包处理程序,可用来发送、嗅探、解析和伪造网络数据包,常常被用到网络攻击和测试中。 这里就直接用python的scapy搞。 这里是arp的攻击方式,你可以做成arp攻击。 复制...
  • 尽管专家提醒过很多次,但仍然有非常多的DNS服务器允许递归解析到外网的设备,这一点可以被用来进行DNS放大攻击。那么怎样攻击呢?通常,攻击者使用僵尸网络向受害者的IP地址发送一个伪造的DNS请求,错误设置的DNS...
  • DNS放大:产生大流量的攻击方法-----单机的带宽优势,巨大的单机数量形成的流量汇聚,利用协议特性实现放大效果的流量DNS协议放大效果----查询请求流量小,但响应流量可能非常巨大(dig ANY baidu.com @8.8.8.8流量放...
  • 二、攻击原理解析 DNS反射放大攻击是一种典型的分布式拒绝服务攻击,是众多反射放大攻击中的一种,攻击者利用了DNS的多种脆弱特性,发动互联网上的僵尸网络“肉鸡”(受黑客远程控制的电脑等),通过将DNS报文的源...
  • 文档名称DDos反射放大攻击全球探测分析 DDoS反射放大攻击全球探测分析 第五版 知道创宇404实验室 V 5.0 2019-05-06 1 北京知道创宇信息技术股份有限公司 第 页 文档名称DDos反射放大攻击全球探测分析 1.更新情况 ...
  • 什么是 DNS 放大攻击

    千次阅读 2019-09-14 04:47:24
    DNS放大是一种分布式拒绝服务 (DDoS) 攻击,其中,攻击者利用域名系统 (DNS) 服务器中的漏洞,将最初很小的查询变成较大的负载,达到其破坏受害者服务器的目的。 DNS 放大是一种反射攻击,它通过操纵可公开访问域名...
  • NTP-Monlist-放大-攻击
  • NTP DDoS反射放大攻击实验

    千次阅读 2020-06-08 17:50:55
    NTP:Network Time Protocol 网络时间协议(NTP)是一种通过因特网服务于计算机时钟的同步时间协议。它提供了一种同步时间机制,能...NTP 反射和放大攻击 无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在
  • 分布式拒绝服务攻击(Distributed Denial of Service)简称DDoS,亦称为阻断攻击或洪水攻击,是目前互联网最常见的一种攻击形式。DDoS攻击通常通过来自大量受感染的计算机(即僵尸网络)的流量,对目标网站或整个...
  • 浅析 DNS 反射放大攻击

    千次阅读 2019-07-11 12:00:42
    DNS 反射放大攻击分析前阵子业务上碰到了 DDOS 攻击,正好是 DNS 反射型的,之前只是听过,没自己处理过,仔细学习了一番之后做点记录。简介DNS 反射放大攻击主要...
  • DDOS核弹攻击--Memcached放大攻击复现

    千次阅读 2018-03-15 21:10:05
    当攻击者伪造源IP进行数据访问时,服务器将请求找到对应的缓存的数据通过UDP数据包的格式发送出去,由于UDP的不可靠性,导致了放大攻击。 六、攻击步骤:  (1)首先我们先通过正常的访问,在服务器上设置较大的...
  • 实验测试了许多域名,最终效果最好的放大了仅仅10倍。 如果有放大倍数更高的方式,请留言告诉我。 测试命令为: dig @NDS服务器 any 域名 实验: 通过dig提交 dig @114.114.114.114 any hp.com
  • 首先,DNS放大攻击,简单解释有两点: 1.伪造源IP为其他人的ip地址 2.被请求的记录,要求比较大,比如TXT格式,4000KB 在A机器上,向DNS发送查询那个TXT的记录,并伪造成别人的ip,即可理解为DNS放大攻击。 可以用...
  • 网络游戏-网络放大攻击的缓解.zip
  • 基于深度学习的放大攻击归因技术.pdf
  • NTP反射放大攻击(五)防御

    千次阅读 2019-03-19 17:19:28
    如果防御NTP反射放大攻击 查看ntp服务器版本,升级到4.2.7p5以上 ntpd -v 关闭现在 NTP 服务器的 monlist 功能,在ntp.conf配置文件末尾增加disable monitor选项 关闭服务器 udp 123端口 firewall-cmd --...
  • NTP反射放大攻击场景搭建 原理 攻击者冒充受害者(NTP客户端)的ip地址,向NTP服务器发送请求消息(很小),ntp服务器收到消息后向受害者返回响应数据包(很大) 安装NTP服务器 一般情况下,选择基本的桌面版安装...
  • DOS+DNS放大攻击工具编写

    千次阅读 2017-08-31 09:13:09
     DNS放大攻击的原理:伪造DNS数据包,向DNS服务器发送域名查询报文了,而DNS服务器返回的应答报文则会发送给被攻击主机。放大体现在请求DNS回复的类型为ANY,攻击者向服务器请求的包长度为69个字节,而服务器向被...
  • NTP反射放大攻击(一)知识点扫盲

    千次阅读 2019-03-19 14:50:53
    NTP反射放大攻击知识点扫盲 什么是NTP服务 NTP是网络时间协议(Network Time Protocol),它是用来同步网络中各个计算机的时间的协议 在计算机的世界里,时间非常地重要,例如对于火箭发射这种科研活动,对时间的统一...
  • SNMP放大攻击原理及实战演示

    千次阅读 2019-03-20 15:55:55
    #这里团体可以添加公有的与私有的,但是出于安全起见,并不希望添加这么一个团体,因为设置为公有的在公网上可以对其扫描到,然后成为别人放大攻击的帮凶,对于私有的,一旦别人探测并使用了SNMP服务,那么相当于...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 17,231
精华内容 6,892
关键字:

放大攻击