DDoS威胁报告
DDoS威胁报告
绿盟科技发布2015 H1 DDoS威胁报告
2015年上半年报告中,绿盟科技发现DDoS攻击存在两极分化的态势,大流量攻击不断增长(>100G的攻击有33起)并开始走向云端,小流量攻击(1分钟以下42.74%)变身脉冲及慢速攻击,主要针对行业业务特性。在此背景下,攻击流量呈现混合化,并以UDP混合流量为主(72%)。
本次报告得到如下关键发现及分析:
- 大流量攻击呈现增长趋势,过百G的攻击越来越多;
- 大流量攻击走向云端,可能出现的云端攻击形式;
- 大流量攻击在游戏行业中加剧,尤以UDP攻击常见;
- 小流量快攻击变身脉冲式攻击,实战国内外实际案例;
- 小流量慢攻击专盯业务逻辑问题,呈现攻击原理及防御;
- DDoS攻击手段“APT”化,智能路由器温床未见好转
与此同时,基于SDN的攻击模式及缓解技术也展现出来,这也预示着DDoS攻击的演变将与云计算及大数据一起,催生DDoS防护向下一代DDoS防护及APT时代迈进。
面对如此恶劣的DDoS威胁态势,主管机构、运营商、行业组织、厂商及用户都在不断开展DDoS治理及缓解工作,报告从这些角度展开分析,呈现DDoS的防护现状,并给出了多种DDoS解决方案及实践,包括本地清洗、云清洗、分层清洗、信誉云、近源清洗等,对于行业从业者来说,这些方案及实践可以为各组织制定自己的防御方案提供借鉴。
《DDoS威胁报告》由绿盟科技威胁响应中心定期发布,旨在帮助大家持续了解及掌握DDoS(分布式拒绝服务)威胁发展态势;在遭遇到攻击后,可以快速理解及检测可能的伤害程度;不断强化网络安全意识,完善解决方案。本次报告为2015年上半年DDoS威胁报告。欲知报告的更多内容,可参阅:2015H1绿盟科技DDoS威胁报告
下载:2015 H1 NSFOCUS DDoS THREAT REPORT
DDoS攻击损失计算器可以使用在线版: http://www.nsfocus.com.cn/research/DDoS_Attack_calc.html
端口映射 新的DDoS放大攻击
昨日,锤子发布会出现一些问题,据悉是其官网服务器遭遇了数十G流量DDoS攻击,这种大流量的DDoS攻击行为,恰恰印证了《2015 H1绿盟科技DDoS威胁报告》中的观点,大流量攻击呈现增长趋势。
DDoS大流量攻击威胁互联网安全
报告中指出2015上半年中发现的大流量攻击流量,其种类以UDP混合流量为主(72%)。报告还指出有两种客观的因素为大流量攻击创造了条件,1随着“宽带中国”战略实施方案的推进,城市和农村家庭宽带接入能力逐步达到20兆比特每秒(Mbps)和4Mbps,部分发达城市达到100Mbps,同时连接速度也在上升;2智能路由器等智能设备普遍存在安全性问题,它们常被利用成为放大攻击的源头,最高放大系数可达75。而从2014到2015 H1,这些问题并未得到好转。
新的DDoS放大攻击形式 端口映射
而今天Level 3 Threat Research Labs发现了一种新的DDoS放大攻击形式,放大系数最高可达28.4,这就是Portmapper。Portmapper(也称rpcbind、portmap或RPCPortmapper)是一种端口映射功能,常用于将内部网络中的服务端口发布到互联网。Portmapper可以视为一项RPC目录服务。当客户端寻求合适的服务时,可在Portmapper中查找。针对这些查询,Portmapper返回的响应大小不一,主要取决于主机上运行的是哪项RPC服务。
Portmapper可在TCP或UDP 111端口上运行。UDP端口就常常用来伪造的UDP请求,以便进行放大式攻击。正常情况下该响应包是比较小的,只有486字节,对比其查询请求(68字节),放大系数为7.1x。在广谱平台上,我们看到最高响应包高达1930字节,放大系数为28.4x。
我们统计了网络中前300名查询者的流量,并计算平均响应包大小。计算结果表明,平均响应包大小为1241字节(放大系数为18.3x)如果是DDoS攻击,我们发现,平均响应包大小为1348字节(放大系数为19.8x)显然,Portmapper作为DDoS攻击形式时,这些放大系数十分可怕。
端口映射放大式攻击增长迅猛
其他反射攻击方法在过去几周内表现平稳,而这个特殊的攻击向量却迅速增长。
与6月最后7天内的全局portmap流量相比,8月12日前7天的流量增长了22倍。显然,成功利用这种方法的攻击正在大肆增长。而与其他流行的UDP服务相比,Portmapper的全局流量仍然很小。
Portmapper的全局流量是如此之小,它几乎被标注在图表的底部红线位置。但要启动请求过滤并从互联网上移除反射主机,以预防更大规模的攻击和造成更多的损害,尚需时日。
建议防范UDP
Portmapper在互联网上成为反射型和放大型DDoS攻击的新形式。各机构或组织,如果需要在其环境中继续使用Portmapper提供端口映射服务,就需要对这些端口及流量展开清洗。但是Portmapper只是一种攻击形式,在许多的服务器上,还存在大量的RPC服务调用,它们也都使用UDP端口,这些服务也存在DDoS反射或放大攻击的可能。必要的情况下,可以考虑禁用这些RPC服务调用。在《2015 H1绿盟科技DDoS威胁报告》中,可以看到某大型互联网企业就深受UDP大流量攻击之痛。
所以我们建议,需要在开放的互联网上严格审查Portmapper、NFS、NIS以及所有其他RPC服务。在服务必须开启的情况下,配置防火墙决定哪些IP地址可以访问这些服务,之后只允许这些IP地址发送TCP请求,以避免这些IP地址在不知情的情况下参与DDoS攻击。
以上Portmapper的相关内容,引自Level 3 Threat Research Labs发布的研究成果。需要了解2015年DDoS威胁发展态势,请查询《2015 H1绿盟科技DDoS威胁报告》
BitTorrent DDoS放大攻击
据国外媒体称,利用BitTorrent发动的新型分布式反射拒绝服务攻击(DRDoS)可将流量平均放大50倍。如果使用BTSync(BitTorrent Sync),流量可放大至120倍。
BitTorrent(BT)反射式放大DDoS攻击
分布式拒绝服务(DDoS)攻击是网络犯罪的最常见手段,因其攻击成本低、攻击工具容易获取,成为互联网最为常见的攻击形式。《 2015 H1绿盟科技 DDoS威胁报告》中预测,大流量攻击呈现增长趋势。
而大流量攻击中较为常见的是反射式放大攻击,在前端时间,绿盟科技的技术专家介绍了 端口映射的放大攻击形式,今天将介绍攻击者是如何利用BitTorrent协议族中的协议反射和放大对端设备的流量。这里的协议主要是指微传输协议(uTP)、分布式哈希表(DHT)、消息流加密(MSE)和BitTorrent Sync(BTSync)。据称在实验室测试环境中,研究人员可将流量平均放大50倍,如果利用BTSync,可放大至120倍。
BT放大式攻击原理
BT下载过程
- 用户先到web服务器下载torrent种子文件(HTTP或HTTPS协议)。
- Bt客户端(peer)打开下载的torrent文件,解析出tracker等信息。
- Bt客户端(peer)到tracker服务器请求种子信息(可以从谁那里下载所需要的文件,给出一份下载地址列表);同时把自己的IP、端口等信息上传到tracker服务器中(方便其它的peer找到你,从你这里下载他需要的文件片段,此时你这个peer充当的是服务器的角色);
- Bt客户端(peer)获取到种子信息之后,开始向其它的peer请求对应的文件信息,如下图所示:
结合上面的图(该图片引自网络),举个例子说明这个过程:
- 我的bt客户端,向tracker服务器发送请求,想要获取piece 1的内容;
- Tracker服务器告诉我的bt客户端:peer1和peer4有你想要的文件片段,你去他那里下载吧;
- 你的bt客户端就会主动连接这两个peer去获取你想要的文件。
- 完成之后,你就保存了0-4所有的片段。
再举个例子:
- 假设在你获取完0-4所有片段之后,此时peer3想要请求片段3,他会首先向tracker服务器请求:谁有piece 3,告诉我;
- Tracker服务器收到请求之后,告诉peer3:peer1、peer2、peer_nsfocus(假设你的peer就叫peer_nsfocus)有piece3;
- Peer3收到之后,会向这三个peer请求piece3;
注: 如果你再下载完成之后,立刻关闭了你的bt客户端,那么peer3就只能去peer1和peer2去请求piece3了。如果大家都在下载完成之后就立刻关闭自己的客户端,那么种子数量就会非常少,整个下载速度就会很慢。所以BT社区建议的使用方式是,在自己下载完成之后,开着自己的bt客户端,方便其它peer从你这里获取文件,加快下载速度。
P2P文件传输过程
两个peer之间传输文件的过程中有两种方式:基于TCP和基于UTP的。
基于TCP传输
- 两个peer之间先建立三次握手连接;
- 发送bittorrent的handshake消息;
- 之后传输数据。
基于UTP传输
UTP协议:Micro Transport Protocol 或者µTP协议是一个基于UDP协议的开放式BT点对点文件共享协议。它的目的是减轻延迟,并且解决传统的基于TCP的BT协议所遇到的拥塞控制问题,提供可靠的有序的传送。
正常情况下,整个交互过程是这样的:
- 客户端(此处也就是YOU)发送一个ST_SYN请求给服务器(此处也就是PEER1);
- 服务端收到之后回复一个ST_STATE,表示连接已经建立好了;
- 之后就是两端的握手消息(88 Byte);
- 之后就是交互数据。
但由于从peer1返回的包(上面的虚线过程)并没有被校验,就成为被攻击者利用的环节。
反射放大攻击分析
反射原理如下图:
- 由于UTP只需要两次握手就可以建立连接,使得攻击者可以很容易伪造源IP完成连接的建立。
- **由于**** peer1 ****并没有检查第**** 2 ****个包(**** ST_STATE ****)是否被**** attacke ****收到,而是直接相信该源**** IP *\*是真实的,** 所以当attacker再次伪造源IP发送handshake包的时候,peer1会立刻回应handshake包,而且超时之后还会重传,增大了放大倍数。
由于重现攻击过程,需要更新时间戳等信息,比较复杂,同时也考虑到安全性问题,这里就不做展开讨论了。
业界评价BT放大式攻击
BitTorrent的发言人表示,公司已经”采取措施增强了这些协议以减轻该研究论文中列出的漏洞所带来的影响。”然而,TorrentFreak网站表示,”uTorrent仍然不安全。”Adamsky表明,包括uTorrent在内的最流行的BitTorrent客户端最易受到攻击。
BitTorrent承认,鉴于基于UDP的协议的运行方式,这些攻击将可能一直存在,并表明将很快完全防护这些漏洞,但具体方法尚未确定。Tenable Network Security的战略分析师表示,利用BitTorrent反射DDoS攻击的做法并非第一次了,但Adamsky研究的独特之处在于揭示了研究人员在攻击测试过程中所实现的流量放大倍数。
我们向Cris Thomas了解此类攻击在现实世界到底会造成多大的影响。他表示,”目前并未大规模发现此类攻击,因此不必太过担忧。然而,如果攻击者也看到了这篇论文,可能很快就会执行攻击。”Malwarebytes的高级情报分析师也表示了担忧,预言那些脚本小子必将利用论文中描述的技术在某一时刻攻击网络,并指出当该论文的研究付诸实践时,DDoS攻击将大量出现。”有效防御这些攻击极具挑战性,”他们告诉SCMagazineUK。反射技术不仅放大了拒绝服务,同时也有效屏蔽了攻击者的IP地址,使得攻击源难以定位。虽然BitTorrent流量检测和丢弃方案有助于缓解DRDoS攻击,但会产生很大负载,因此并非理想方案。
在接受SCMagazineUK采访时,OPSWAT软件工程经理煞费苦心地指出,我们不应该认为分布式机制的本质是坏的或在安全性方面就一定比非分布式机制差。他说,”我讨厌制造’反P2P’的恐慌情绪。虽然分布式架构可能会存在特定的安全问题,但非分布式架构也同样如此。”Arbor Networks技术专家也表示,BitTorrent只是这类攻击可利用的协议之一,DNS、NTP、SSDP、CHARGEN、SNMP以及Portmap都可用于发动此类攻击。但利用BitTorrent的优势在于,放大的反射型攻击流量的源端口是动态的。
有人建议,BitTorrent可考虑改用三次握手协议如TCP,代替当前使用的二次握手协议。这可能会导致性能降低,但三次握手协议可检测到伪造的源IP地址,因为这些地址无法回复第一条握手消息。他说,”这会降低攻击过程中的流量放大倍数。”众所周知,这正是BitTorrent目前在漏洞防护过程中通过增强协议要实现的目标。
BT放大式攻击防护
如同上面所说,攻击者基于BT的放射式放大攻击不同于传统的反射攻击,因为它的端口是不固定的,所以封端口的策略不可行,只能靠识别应用层的特征来过滤攻击。防护方式建议从两个方面进行:
- 对于bittorrent客户端,可以考虑改用原来的tcp方式,杜绝虚假源导致的放大攻击。
- 防护设备对utp报文的payload做识别,utp前两个字节是有特征的,第1个字节代表版本号和类型,对于放大的报文,该字段为0x01;第2个字节 代表utp的扩展字段,有3种取值:0x00、0x01、0x02,一般情况下该字段为0x00. 可以根据这些特征做限速等策略。
附录:文中术语
- Torrent文件:保存了相应的种子信息、tracker服务器信息等;
- Web服务器:用来存放 .torrent文件,共用户去下载的。
- Peer:代表每个bt客户端(实际上每个peer既是服务器又是客户端)。
- Tracker服务器:记录每个peer的信息(IP、端口、已经下载的对应的段等信息),用于帮助每个peer发现彼此;
- Piece: 一个文件通常会被分割成很多片段,这样下载的时候可以同时向多个服务端请求数据,加快下载速度。
注:本文业界评论部分的信息引自 SC Magazine UK