明輝手游網(wǎng)中心:是一個(gè)免費(fèi)提供流行視頻軟件教程、在線學(xué)習(xí)分享的學(xué)習(xí)平臺(tái)!

端口映射:新的DDoS放大攻擊

發(fā)表時(shí)間:2023-04-15 來源:明輝站整理相關(guān)軟件相關(guān)文章人氣:

[摘要]昨日, 錘子發(fā)布會(huì)出現(xiàn)一些問題, 據(jù)悉是其官網(wǎng)服務(wù)器遭遇了數(shù)十G流量DDoS攻擊, 這種大流量的DDoS攻擊行為, 恰恰印證了《2015 H1綠盟科技DDoS威脅報(bào)告》中的觀點(diǎn), 大流量攻擊呈現(xiàn)增長(zhǎng)...

昨日, 錘子發(fā)布會(huì)出現(xiàn)一些問題, 據(jù)悉是其官網(wǎng)服務(wù)器遭遇了數(shù)十G流量DDoS攻擊, 這種大流量的DDoS攻擊行為, 恰恰印證了《2015 H1綠盟科技DDoS威脅報(bào)告》中的觀點(diǎn), 大流量攻擊呈現(xiàn)增長(zhǎng)趨勢(shì)。  

  DDoS大流量攻擊威脅互聯(lián)網(wǎng)安全

報(bào)告中指出2015上半年中發(fā)現(xiàn)的大流量攻擊流量, 其種類以UDP混合流量為主(72%)。 報(bào)告還指出有兩種客觀的因素為大流量攻擊創(chuàng)造了條件, 1隨著“寬帶中國(guó)”戰(zhàn)略實(shí)施方案的推進(jìn), 城市和農(nóng)村家庭寬帶接入能力逐步達(dá)到20兆比特每秒(Mbps)和4Mbps, 部分發(fā)達(dá)城市達(dá)到100Mbps, 同時(shí)連接速度也在上升;2智能路由器等智能設(shè)備普遍存在安全性問題, 它們常被利用成為放大攻擊的源頭, 最高放大系數(shù)可達(dá)75。 而從2014到2015 H1, 這些問題并未得到好轉(zhuǎn)。

  新的DDoS放大攻擊形式 端口映射

而今天Level 3 Threat Research Labs發(fā)現(xiàn)了一種新的DDoS放大攻擊形式, 放大系數(shù)最高可達(dá)28.4, 這就是Portmapper。 Portmapper(也稱rpcbind、portmap或RPCPortmapper)是一種端口映射功能, 常用于將內(nèi)部網(wǎng)絡(luò)中的服務(wù)端口發(fā)布到互聯(lián)網(wǎng)。 Portmapper可以視為一項(xiàng)RPC目錄服務(wù)。 當(dāng)客戶端尋求合適的服務(wù)時(shí), 可在Portmapper中查找。 針對(duì)這些查詢,Portmapper返回的響應(yīng)大小不一, 主要取決于主機(jī)上運(yùn)行的是哪項(xiàng)RPC服務(wù)。

Portmapper可在TCP或UDP 111端口上運(yùn)行。 UDP端口就常常用來偽造的UDP請(qǐng)求, 以便進(jìn)行放大式攻擊。 正常情況下該響應(yīng)包是比較小的, 只有486字節(jié), 對(duì)比其查詢請(qǐng)求(68字節(jié)), 放大系數(shù)為7.1x。 在廣譜平臺(tái)上, 我們看到最高響應(yīng)包高達(dá)1930字節(jié), 放大系數(shù)為28.4x。

我們統(tǒng)計(jì)了網(wǎng)絡(luò)中前300名查詢者的流量, 并計(jì)算平均響應(yīng)包大小。 計(jì)算結(jié)果表明, 平均響應(yīng)包大小為1241字節(jié)(放大系數(shù)為18.3x)如果是DDoS攻擊, 我們發(fā)現(xiàn), 平均響應(yīng)包大小為1348字節(jié)(放大系數(shù)為19.8x)顯然, Portmapper作為DDoS攻擊形式時(shí), 這些放大系數(shù)十分可怕。

  端口映射放大式攻擊增長(zhǎng)迅猛

其他反射攻擊方法在過去幾周內(nèi)表現(xiàn)平穩(wěn), 而這個(gè)特殊的攻擊向量卻迅速增長(zhǎng)。

  與6月最后7天內(nèi)的全局portmap流量相比, 8月12日前7天的流量增長(zhǎng)了22倍。 顯然, 成功利用這種方法的攻擊正在大肆增長(zhǎng)。 而與其他流行的UDP服務(wù)相比, Portmapper的全局流量仍然很小。

  Portmapper的全局流量是如此之小, 它幾乎被標(biāo)注在圖表的底部紅線位置。 但要啟動(dòng)請(qǐng)求過濾并從互聯(lián)網(wǎng)上移除反射主機(jī), 以預(yù)防更大規(guī)模的攻擊和造成更多的損害, 尚需時(shí)日。

  建議防范UDP

Portmapper在互聯(lián)網(wǎng)上成為反射型和放大型DDoS攻擊的新形式。 各機(jī)構(gòu)或組織, 如果需要在其環(huán)境中繼續(xù)使用Portmapper提供端口映射服務(wù), 就需要對(duì)這些端口及流量展開清洗。 但是Portmapper只是一種攻擊形式, 在許多的服務(wù)器上, 還存在大量的RPC服務(wù)調(diào)用, 它們也都使用UDP端口, 這些服務(wù)也存在DDoS反射或放大攻擊的可能。 必要的情況下, 可以考慮禁用這些RPC服務(wù)調(diào)用。

  所以我們建議, 需要在開放的互聯(lián)網(wǎng)上嚴(yán)格審查Portmapper、NFS、NIS以及所有其他RPC服務(wù)。 在服務(wù)必須開啟的情況下, 配置防火墻決定哪些IP地址可以訪問這些服務(wù), 之后只允許這些IP地址發(fā)送TCP請(qǐng)求, 以避免這些IP地址在不知情的情況下參與DDoS攻擊。

  以上Portmapper的相關(guān)內(nèi)容, 引自Level 3 Threat Research Labs發(fā)布的研究成果。 需要了解2015年DDoS威脅發(fā)展態(tài)勢(shì)


上面是電腦上網(wǎng)安全的一些基礎(chǔ)常識(shí),學(xué)習(xí)了安全知識(shí),幾乎可以讓你免費(fèi)電腦中毒的煩擾。