聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

DDoS 雇佣服务目前正在滥用配置不当或过期的数据报文传输层安全 (Datagram Transport Layer Security, D/TLS) 服务器，放大分布式 DoS 攻击。

DTLS 是基于 UDP 的 TLS 协议版本，具有阻止在延迟敏感 app 和服务进行窃听和篡改的功能。

已滥用于单向量和多向量 DDoS 攻击中

据相关报告称，去年12月，某 DDOS 攻击利用 DTLS放大易受攻击的思杰设备的流量，这些设备使用 DTLS 配置但并未部署旨在拦截此类滥用情况的 ‘HelloClientVerify’ 反欺骗机制。

德国 DDoS 防护厂商 Link11表示，利用 DTLS 的 DDoS 攻击的放大因子可达到35；DDoS 缓解企业 Netscout 指出，放大率可达到 37.34:1。

1月份，思杰发布修复方案删除了受影响 NetScaler ADC 设备上的放大向量，并增加 ‘HelloVerifyRequest’ 设置删除该攻击向量。

然而，2个月后，Netscount 公司表示，互联网仍暴露着超过4200台 DTLS 服务器，且易被滥用于反射型DDoS / DDoS 放大攻击中。该公司观测到单向量 DTLS DDoS 放大攻击达 44.6 Gbps，而多向量攻击达 206.9 Gbps。

遭 DDoS booter服务利用

DDoS 雇佣平台也被称为Booter 或 Stresser，它们正在将 DTLS 作为放大向量并使其落入技术不太高明的攻击者手中。

Booter服务常被威胁行动者、恶作剧者或黑客主义者所使用，尤其是没时间或技能构建自己的 DDoS 基础设施的情况下。他们租赁stresser发动 DDoS 攻击，触发拒绝服务，使目标服务器或站点宕机或服务中断。

Netscout 公司指出，和更新的 DDoS 攻击向量的情况一致，高阶攻击者访问 DDoS 攻击基础设施后，D/TLS 反射型/放大已被武器化并加入所谓 ‘booter/stresser’ DDoS 雇佣服务中，使得一般攻击者也可接触使用。

为缓解此类攻击，管理员可禁用在互联网暴露的服务器上的不必要的 DTLS 服务或者修复/配置使用 HelloVerifyRequest 反欺骗机制，删除 DTLS 放大。

DHS-CISA 也发布了关于如何检测  DDoS 攻击以及修复措施的指南。

推荐阅读

攻击者滥用 Citrix NetScaler 设备 0day，发动DDoS放大攻击

VMware 修复 vCenter 服务器中的严重 RCE 漏洞

火眼：利用FTA 服务器0day攻击全球百家企业的是 FIN11

Windows 和 Linux 服务器遭新型僵尸网络 WatchDog 攻击近两年

参考链接

https://www.bleepingcomputer.com/news/security/ddos-booters-now-abuse-dtls-servers-to-amplify-attacks/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~