金沙js1996

js1996官网登录

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

应对UDP反射放大攻击的五种常用防护思路

2020-08-10

本月,美国联邦调查局(FBI)发出警告,称发现几种新的网络协议被不法分子用来发动大规模的分布式拒绝服务(DDoS)攻击。警告包括三种网络协议和一款Web应用程序。其中CoAP(受约束的应用协议)、WS-DD(Web服务动态发现)和ARMS(Apple远程管理服务)这三种网络协议已有媒体报道,发现了在实际网络环境中的滥用情况。

FBI 的官员表示,这些新型DDoS攻击途径已经是迫在眉睫的真实威胁。由于他们对相关设备的必要性,厂商难以通过禁用实现攻击的阻止。而这无疑给打造大规模僵尸网络,发动极具破坏性的 DDoS 攻击提供了便利。

找到有效安全手段的前提,是对攻击的充分了解。以下是js1996官网登录对这四种新型 DDoS 攻击途径的解读,以及核心的防护思路分享。

 CoAP:约束应用协议(Constrained Application Protocol)

CoAP是一种轻量级的机器对机器(M2M)协议,可以在内存和计算资源稀缺的智能设备上运行。简单来说,CoAP与HTTP非常类似。但它不是工作在TCP包,而是在UDP上。就像HTTP用于在客户端和服务器之间传输数据和命令(GET,POST,CONNECT等)一样,CoAP也允许相同的多播和命令传输功能,但不需要那么多的资源,这使它成为物联网设备的理想选择。然而,就像其它基于UDP的协议,CoAP天生就容易受到IP地址欺骗和数据包放大的影响,这也是它容易被DDoS攻击滥用的主要原因。

WS-DD:Web服务动态发现(Web Services Dynamic Discovery)

WS-DD是一种局域网内的服务发现多播协议。但经常因为设备厂商的设计不当,当一个正常的IP地址发送服务发现报文时,设备也会对其进行回应。如果设备被暴露在互联网上,即可被攻击者用于DDoS反射攻击。WSD协议所对应的端口号是3702。当前,视频监控设备的ONVIF规范以及一些打印机,都开放或在正在使用WS-DD服务。其实早在2019年,js1996官网登录格物实验室就对WS-DD可被用于反射攻击做出了分析。

http://blog.nsfocus.net/ws-discovery-reflection-attack-analysis/

ARMS:远程管理服务(Apple Remote Management Service)

2019年,已有不法分子利用Apple远程管理服务(ARMS)即Apple远程桌面(ARD)功能的一部分,实施了DDoS放大攻击。ARD启用后,ARMS服务开始在端口3283上侦听传输到远程Apple设备的入站命令,攻击者进而可以发动放大倍数为35.5的DDoS放大攻击。此漏洞的来源在于ARMS自身服务的设计缺陷。在使用UDP传输协议的情况下,客户端向netAssistant服务端口(即3283端口)发送一个UDP最小包,netAssistant服务便会返回携带有主机标识的超大包,请求与响应相差数十倍。由于其并未严格限制请求与响应比,导致暴露在公网中开启netAssistant服务的网络设备均有可能被当作反射源使用。

Jenkins:基于 Web 的自动化软件

Jenkins是一个开源的、可扩展的持续集成、交付、部署(软件/代码的编译、打包、部署)的基于Web的平台。Jenkins是一个执行自动化任务的开源服务器。利用Jenkins的漏洞(如CVE-2020-2100),可以用来发动 DDoS 攻击。尽管Jenkins v2.219中已经修复了这个漏洞,但是很多Jenkin服务器仍然会受到影响。

实际上,除了FBI 提及的这四种新型 DDoS 攻击途径,我们还应关注更多可用于反射放大攻击 ,工作在UDP 的协议。如SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY 等。8f337bf6ecb26782294b6c59512eaaf

UDP反射放大攻击是近几年最火热,被利用最多的DDoS攻击方式之一。UDP数据包是无链接状态的服务,攻击者可以小代价的利用UDP 协议特性攻击目标主机,使其无法响应正确请求,以实现拒绝服务。

那么,我们应该如何应对UDP反射放大攻击?本文给出以下5种常用的防护思路:

1.      指纹学习算法:学习检查UDP报文中的Payload,自动提取攻击指纹特征,基于攻击特征自动进行丢弃或者限速等动作。

2.      流量波动抑制算法:产品通过对正常的业务流量进行学习建模,当某类异常流量出现快速突增的波动时,自动判断哪些是异常从而进行限速/封禁,以避免对正常流量造成影响。

3.      基于IP和端口的限速:通过对源IP、源端口、目标IP、目标端口的多种搭配组合进行限速控制,实现灵活有效的防护策略。

4.      服务白名单:对于已知的UDP反射协议,如DNS服务器的IP地址添加为白名单,除此之外,其他源IP的53端口请求包,全部封禁,使UDP反射放大攻击的影响面降低。

5.      地理位置过滤器:针对业务用户的地理位置特性,在遇到UDP反射攻击时,优先从用户量最少地理位置的源IP进行封禁阻断,直到将异常地理位置的源IP请求全部封禁,使流量降至服务器可处理的范围之内,可有效减轻干扰流量。

<<上一篇

金沙js1996威胁情报专栏 | 海莲花(APT32)组织使用新的攻击技术,NTI已支持相关检测

>>下一篇

倒计时3天NSFOCUS CLUB 2020安全技术高峰论坛暨合作伙伴峰会即将启幕

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入js1996官网登录,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
js1996官网登录社区
js1996官网登录社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS js1996官网登录 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

XML 地图