热搜
您的位置:首页 >> 教育

端口映射新的DDoS放大攻击

2019年04月11日 栏目:教育

昨日,锤子发布会出现一些问题,据悉是其官服务器遭遇了数十G流量DDoS攻击,这种大流量的DDoS攻击行为,恰恰印证了《2015 H1绿盟科技

昨日,锤子发布会出现一些问题,据悉是其官服务器遭遇了数十G流量DDoS攻击,这种大流量的DDoS攻击行为,恰恰印证了《2015 H1绿盟科技DDoS威胁报告》中的观点,大流量攻击呈现增长趋势。

DDoS大流量攻击威胁互联安全 报告中指出2015上半年中发现的大流量攻击流量,其种类以UDP混合流量为主(72%)。报告还指出有两种客观的因素为大流量攻击创造了条件,1随着 宽带中国 战略实施方案的推进,城市和农村家庭宽带接入能力逐步达到20兆比特每秒(Mbps)和4Mbps,部分发达城市达到100Mbps,同时连接速度也在上升;2智能路由器等智能设备普遍存在安全性问题,它们常被利用成为放大攻击的源头,放大系数可达75。而从2014到2015 H1,这些问题并未得到好转。

新的DDoS放大攻击形式 端口映射 而今天Level 3 Threat Research Labs发现了一种新的DDoS放大攻击形式,放大系数可达28.4,这就是Portmapper。Portmapper(也称rpcbind、portmap或RPCPortmapper)是一种端口映射功能,常用于将内部络中的服务端口发布到互联。Portmapper可以视为一项RPC目录服务。当客户端寻求合适的服务时,可在Portmapper中查找。针对这些查询,Portmapper返回的响应大小不一天津友发镀锌钢管
,主要取决于主机上运行的是哪项RPC服务。

Portmapper可在TCP或UDP 111端口上运行。UDP端口就常常用来伪造的UDP请求,以便进行放大式攻击。正常情况下该响应包是比较小的,只有486字节,对比其查询请求(68字节),放大系数为7.1x。在广谱平台上娃娃机
,我们看到响应包高达1930字节,放大系数为28.4x。

我们统计了络中前300名查询者的流量,并计算平均响应包大小。计算结果表明,平均响应包大小为1241字节(放大系数为18.3x)如果是DDoS攻击,我们发现,平均响应包大小为1348字节(放大系数为19.8x)显然,Portmapper作为DDoS攻击形式时,这些放大系数十分可怕。

端口映射放大式攻击增长迅猛 其他反射攻击方法在过去几周内表现平稳,而这个特殊的攻击向量却迅速增长。

与6月7天内的全局portmap流量相比,8月12日前7天的流量增长了22倍。显然,成功利用这种方法的攻击正在大肆增长。而与其他流行的UDP服务相比北京二手车市场
,Portmapper的全局流量仍然很小。

Portmapper的全局流量是如此之小,它几乎被标注在图表的底部红线位置。但要启动请求过滤并从互联上移除反射主机,以预防更大规模的攻击和造成更多的损害,尚需时日。

建议防范UDP Portmapper在互联上成为反射型和放大型DDoS攻击的新形式。各机构或组织,如果需要在其环境中继续使用Portmapper提供端口映射服务,就需要对这些端口及流量展开清洗。但是Portmapper只是一种攻击形式,在许多的服务器上,还存在大量的RPC服务调用,它们也都使用UDP端口,这些服务也存在DDoS反射或放大攻击的可能。必要的情况下,可以考虑禁用这些RPC服务调用。

所以我们建议,需要在开放的互联上严格审查Portmapper、NFS、NIS以及所有其他RPC服务。在服务必须开启的情况下,配置防火墙决定哪些IP地址可以访问这些服务,之后只允许这些IP地址发送TCP请求,以避免这些IP地址在不知情的情况下参与DDoS攻击。

以上Portmapper的相关内容,引自Level 3 Threat Research Labs发布的研究成果。需要了解2015年DDoS威胁发展态势,请查询《2015 H1绿盟科技DDoS威胁报告》。

来源:绿盟科技投稿。

(*)

验证(*)