渗透测试学习笔记-DDoS攻击

DDOS（Distributed Denial of Service），中文全称分布式拒绝服务

就是借助多台计算机作为平台来攻击服务器的一种方式的统称，DDOS攻击还包括 CC攻击、NTP攻击、SYN攻击、DNS攻击等。遭受DDOS攻击的网站会出现：网站无法访问、访问提示“server unavailable”、服务器CPU使用率100%、内存高占用率。

在Kali Linux下，可以使用hping3发动DoS攻击。

对了，以下介绍的攻击还可以混合着玩，肯定比单一的效果棒一些吧。

• SYN Flood
  hping3 host -S --flood
  近年SYN Flood攻击中出现的1514字节的SYN报文大包类型攻击增加，让DDoS攻击变得更加复杂

• UDP Flood

• ACK Flood

反射攻击(Reflection Flood)

原理是攻击者伪造请求，将受害者IP地址作为请求源地址并将之发往互联网中大量存在协议漏洞的反射器，利用这些协议回应包字节数远大于请求包的特点，达到反射放大流量的效果，构成对目标网络的大流量DDoS攻击。由于不需要像传统僵尸网络那样对大量的攻击源进行事先感染和控制，因此发起此类大流量攻击的代价远远小于传统的DDoS攻击。目前已知流量放大倍数最高的反射攻击是Memcached，带宽放大倍数10000~51000。
（我不晓得这数字咋算出来的，反射放大攻击确实可怕）

• NTP Reflection Flood
  NTP Reflection Flood为传统类型反射攻击，无论是从攻击次数还是攻击总流量上来看，NTP Reflection Flood均占首位。反射器的数量和反射器的放大比例，通常是攻击者在选择反射类型的两个重要因素，由于网络存在大量公开IP地址的NTP服务器，且NTP反射攻击时的放大比例达到556.9，顾导致了近几年NTP类型的反射攻击的一直比较流行。

• SSDP Reflection Flood
  SSDP可用的反射器最多

• CHARGEN Reflection Flood

• SNMP Reflection Flood

• DNS Request Flood

• DNS Reflection Flood

• Memcached DRDoS
  2018年初，一种新型的反射攻击
  2018年3月1日AKamai宣称其客户遭遇了峰值为1.35Tbps的Memcached DRDoS攻击。
  Memcached是–个高性能的开源分布式内存对象缓存系统，主要用于提高Web应用的扩展性，能够有效解决大数据缓存的很多问题，在全球范围内都有广泛使用。Memcached 基于内存的key-value存储小块数据，并使用该数据完成数据库调用、API调用或页面渲染等。攻击者正是利用key-value这项功能构造了大流量的Memcached反射攻击。

下表引自US-Cert，详细列举了各类反射攻击的放大倍数

Protocol	Bandwidth Amplification Factor	Vulnerable Command
DNS	28 to 54	https://www.us-cert.gov/ncas/alerts/TA13-088A
NTP	556.9	https://www.us-cert.gov/ncas/alerts/TA14-013A
SNMPv2	6.3	GetBulk request
NetBIOS	3.8	Name resolution
SSDP	30.8	SEARCH request
CharGEN	358.8	Character generation request
QOTD	140.3	Quote request
BitTorrent	3.8	File search
Kad	16.3	Peer list exchange
Quake Network Protocol	63.9	Server info exchange
Steam Protocol	5.5	Server info exchange
Multicast DNS (mDNS)	2 to 10	Unicast query
RIPv1	131.24	Malformed request
Portmap (RPCbind)	7 to 28	Malformed request
LDAP	46 to 55	Malformed request
CLDAP	56 to 70
TFTP	60
Memcached	10,000 to 51,000

一些治理措施

• URPF(Unicast Reverse Path Forwarding)

  源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文，频繁访问目的地址所在设备或者主机；即使响应报文不能到达攻击者，也会对被攻击对象造成一定程度的破坏。
  URPF（Unicast Reverse Path Forwarding，单播逆向路径转发）的主要功能是用于防止基于源地址欺骗的网络攻击行为。路由器接口一旦使能URPF功能，当该接口收到数据报文时，首先会对数据报文的源地址进行合法性检查，对于源地址合法性检查通过的报文，才会进一步查找去往目的地址的转发表项，进入报文转发流程；否则，将丢弃报文。

• BCP 38/84策略
  BCP 38文档介绍：https://tools.ietf.org/html/bcp38
  BCP 84文档介绍： https://tools.ietf.org/html/bcp84

• 服务器需及时打补丁或者升级到较新版本

• 直接关闭了本不需要开启的服务

好玩的网站

Digital Attack Map : http://www.digitalattackmap.com/
Top daily DDoS attacks worldwide , 全球范围内DDoS攻击的实时数据可视化