跳至主內容

濫用公開網絡服務進行分散式反射阻斷服務(DRDoS)攻擊

發佈日期: 2014年02月24日 6426 觀看次數

 

(圖片由 RRZEicons 創作:http://commons.wikimedia.org/wiki/File:Temporarily-not-available-clock.svg)

 

數月前,有報導指 Network Time Protocol(NTP)伺服器被廣泛利用在分散式反射阻斷服務(distributed reflection denial of service,簡稱 DRDoS)攻擊。諸如 DNS 及 NTP 這些公開網絡服務被濫用作反射攻擊(reflection attack),即攻擊者利用你的網絡設施去攻擊他們的目標,並非什麼新鮮事物。加強網絡設施的保安能把被濫用的機會減至最低。

 

放大流量 - 攻擊者濫用我們的網絡設施的誘因

 

你可能在想為什麼攻擊者千方百計想要利用我們的網絡設施。假如攻擊者透過「無連接方式(connectionless)」的 UDP 協定發動攻擊,可隱藏他們的真實位置,就算被發現利用了我們的設施也不用擔心被追踪。還有他們不需要擁有很多流量,只要透過他人的設施便可放大攻擊流量,原理如下:

  1. 假冒來自受害者 IP 地址的攻擊者向公開網絡服務如 DNS 或 NTP 進行查詢。
  2. 由於這些服務的本身用途或漏洞,回應查詢的數據大小會比查詢所用的較大。
    • 假如查詢某服務需要 0.5 KB 數據,回應時數據量為 40 KB,即傳送 0.5 KB 數據會收回 40 KB 數據。這種情況稱為「放大流量(amplification)」。在這個例子,放大倍數為 40 / 0.5 = 80X。
    • 假設攻擊者控制 500 部電腦同時進行以上 0.5 KB 查詢,回應的數據量為 0.5 × 500 × 80 = 20,000 KB,即約為 20 MB。
  3. 假如該網絡服務不能辨別查詢者 IP 地址的真偽,便向受害者傳送 20 MB 數據。

透過他人的網絡設施而進行放大流量的 DDoS 攻擊稱為分散式反射阻斷服務DRDoS)攻擊。

 

 

(Image source: Cisco)

 

引起公眾關注的 DRDoS 攻擊例子

  • DNS
    透過 DNS 伺服器進行 DRDoS 攻擊,其中最嚴重的一次產生 65 Gbps 流量1(作為參考:截至 2013 年 11 月,香港經過 HKIX 的總平均互聯網流量約為 150 Gbps2)。由於這些伺服器被設定為「可作公開域名分析」,即任何人可透過互聯網向這些伺服器進行查詢。正由於這種不恰當設定(其實這類伺服器很多都不需要對外公開),這些伺服器成為攻擊者的「寶貴」資源。
     
  • NTP
    2013 年 11 月發生了大規模透過 NTP 進行的 DRDoS 攻擊3。NTP 的 MONLIST(或 MON_GETLIST)指令會列出最近曾查詢該 NTP 服務的伺服器資料。透過這個指令所得的放大倍數為 19X 至 206X,即表示若攻擊者集合 100 部電腦,而每部電腦傳送 1 MB 的查詢,便可發動 100 × 206 ≈ 20 GB DRDoS 攻擊。由於 HKCERT 收到報告,指香港有最少上千部 NTP 伺服器對外開放,加上 2013 年 11 月發生的攻擊,因此發出了保安公告 SA14020701
     
  • SNMP
    SNMP 是用來管理位於不同網絡層的裝置如路由器、交換器、印表機等的應用層協定。被 SNMP 監察的裝置會透過 UDP 協定回應對管理軟件提出的請求。攻擊者可濫用 SNMP 的 GetBulkRequest 指令向多個裝置查詢,進行反射攻擊4
     
  • CHARGEN
    CHARGEN 為一除錯和量度工具,及字元產生服務,透過 UDP 埠傳送數據4。透過 CHARGEN 作出的攻擊首次於 1996 年被提出5
     

網絡服務保安的一般建議

  1. 假如服務只供內部使用,應阻擋所有外來查詢(例如把服務放置在防火牆後及過濾外來通訊)。
  2. 停用不需要的服務。
  3. 在防火牆設定入口過濾(ingress filtering)- 防止任何被殭屍軟件感染及控制的電腦透過網絡進行惡意活動。
  4. 想測試你的 DNS 伺服器會否被濫用作 DRDoS,可到訪此網站:http://openresolverproject.org/;關於 NTP 伺服器,可參考 HKCERT 保安公告 SA14020701;你可以使用漏洞掃描器對任何通訊協定作測試。
     

參考資料

  1. How to Launch a 65Gbps DDoS, and How to Stop One, CloudFlare
  2. 用 Joomla 嗎?你的網站可能已參與 DDoS 攻擊,HKCERT
  3. NTP Reflections, RIPE
  4. [PDF] An Analysis of DrDoS SNMP/NTP/CHARGEN Reflection Attacks, Prolexic
  5. UDP Port Denial-of-Service Attack, CERT
  6. UDP-based Amplification Attacks, US-CERT
  7. [Image] The Rise of DRDoS Atacks, Prolexic