当前位置: 主页 > Y超生活 >Akamai 针对 3 种新型反射式 DDoS 攻击媒介发出警告 >

Akamai 针对 3 种新型反射式 DDoS 攻击媒介发出警告

浏览量:903
点赞:100
时间:2020-06-06
Akamai 针对 3 种新型反射式 DDoS 攻击媒介发出警告

内容递送网路 (content delivery network,CDN) 服务的厂商 Akamai Technologies, Inc.发表全新网路安全威胁建议书。Akamai 在近几个月内已观测到 3 种新型反射分散式阻断服务 (Distributed Denial of Service,DDoS) 攻击。建议书完整说明由 NetBIOS 名称伺服器反射、RPC portmap 反射与 Sentinel 反射所导致的 DDoS 威胁,包含有效负载 (payload) 分析、网路入侵检测(Snort) 规则与系统强化的最佳实务。

何谓反射式 DDoS 攻击?

反射式 DDoS 攻击亦称为 DrDoS 攻击,其中牵涉 3 个参与者:攻击者、不知情的帮兇 (被攻击者的伺服器) 与攻击目标。攻击者会向攻击目标的主机传送一个简单的要求,但是攻击者会窜改 (假造) 该要求,让其看起来像是由攻击目标所发出,接着被攻击者的伺服器会对假造的位址做出反应,将非必要的网路流量送往攻击目标。攻击者会挑选做出极大反应的受害者伺服器来发动反射式 DDoS 攻击,如此便可放大攻击力。攻击者会运用攻击工具的自动化程序,以高频率向大量的受害目标送出成千上百个要求,藉此让受害的伺服器发出洪水般无用的流量,导致目标因此阻断服务。

Akamai 资讯安全事业单位资深副总裁兼总经理 Stuart Scholly 表示:「虽然反射式 DDoS 攻击很常见,但这三种攻击媒介对多种不同服务的滥用是前所未见的,这显示出攻击者持续地刺探整个网际网路,以便发现可利用的新资源。看起来没有一个 UDP 服务逃得过 DDoS 攻击者滥用的命运,因此伺服器管理员必须要关闭不必要的服务,或保护他们不受恶意反射攻击者的利用。网际网路上遭到反射式 DDoS 攻击利用而开启的 UDP 服务数量多得惊人。」

新型反射式攻击的攻击工具之间互有关联,都是源自相同 C 代码的不同修改版本。每个攻击媒介需要的基本条件亦都相同:一组向大量受害反射器发送假造申请的指令码,其命令行的选项都很类似。

NetBIOS 名称伺服器反射式 DDoS 攻击

NetBIOS 反射式 DDoS 攻击特指 NetBIOS 名称服务 (NetBIOS Name Service,NBNS) 反射。Akamai 发现在 2015 年 3 月至 7 月间有零星的此类攻击事件发生。NetBIOS 的主要目的是让不同电脑上的应用程式可以互相传递讯息、建立沟通管道以使用共享资源,并在区域网路中找到彼此。

这种攻击让目标从伺服器所接收的反应流量,会是攻击者原先发送的要求流量的 2.56 到 3.85 倍。依据 Akamai 所观测到的 4 个 NetBIOS 名称伺服器反射式攻击,最大值的流量纪录为 15.7 Gbps。虽然合法跟恶意的 NetBIOS 名称伺服器要求很普遍,但直到 2015 年 3 月,当 Akamai 为客户缓解 DDoS 攻击时,回应式洪水攻击才首次被侦测到。

RPC portmap 反射式 DDoS 攻击

Akamai 第一次观测到并进行缓解的 RPC portmap 反射式 DDoS 攻击,发生在 2015 年 8 月的多媒介 DDoS 攻击活动中。RPC portmap 亦称为 port mapper,会教导用户端该如何开启开放网路运算远端程序呼叫 (Open Network Computing Remote Procedure Call,ONC RPC) 服务的特定版本。

这种攻击的特点在于其最大反应流量的放大係数为50.53,一般较常见的放大係数则为 9.65。Akamai 缓解的 4 个 RPC 反射式攻击活动中,有一个流量超过 100 Gbps,是十分强大的攻击。在 2015 年 9 月,Akamai 几乎每天都观测到针对不同目标的主动式恶意反射请求。

Sentinel 反射式 DDoS 攻击

2015 年 6 月,斯德哥尔摩大学观测到第一个 Sentinel 反射式 DDoS 攻击,并判定为 SPSS 统计软体套件授权伺服器上的漏洞。Akamai 于 2015 年 9 月缓解了两个 Sentinel 反射式 DDoS 攻击活动,攻击来源包含可使用高频宽的强大伺服器,例如大学伺服器。

此次攻击的放大係数为 42.94,但只识别出 745 个独立的攻击流量来源。即使网路连线良好的伺服器能提供额外的频宽,此类攻击仍受限于可用反射器的数量。有一次攻击的高峰流量达 11.7 Gbps。

DDoS 缓解与系统强化

以这 3 种攻击媒介来说,上游筛选或许是 DDoS 缓解的可行方案,否则就需要云端型 DDoS 缓解服务供应商的帮助。威胁建议书提供一个网路入侵检测 (Snort) 的缓解规则,可侦测出由 RPC portmap 攻击工具所产生的恶意要求。类似的规则也可用来侦测 Sentinel 服务。

Sholly 表示:「对于这 3 种服务,管理员应该要思考这些服务是否需要对网际网路上的所有人开放。以 NetBIOS 而言,可能没有开放的必要,但另外两种可能就有需要,而问题就该转而考量保护的方式。RPC 和 Sentinel 的流量可利用侵入式侦测系统来监控。」

上一篇: 下一篇: