udp 协议阻断_应对UDP反射放大攻击的五种常用防护思路
本月,美国联邦调查局(FBI)发出警告,称发现几种新的网络协议被不法分子用来发动大规模的分布式拒绝服务(DDoS)攻击。警告包括三种网络协议和一款Web应用程序。其中CoAP(受约束的应用协议)、WS-DD(Web服务动态发现)和ARMS(Apple远程管理服务)这三种网络协议已有媒体报道,发现了在实际网络环境中的滥用情况。
FBI 的官员表示,这些新型DDoS攻击途径已经是迫在眉睫的真实威胁。由于他们对相关设备的必要性,厂商难以通过禁用实现攻击的阻止。而这无疑给打造大规模僵尸网络,发动极具破坏性的 DDoS 攻击提供了便利。
找到有效安全手段的前提,是对攻击的充分了解。以下是绿盟科技对这四种新型 DDoS 攻击途径的解读,以及核心的防护思路分享。
CoAP:约束应用协议(Constrained Application Protocol)
CoAP是一种轻量级的机器对机器(M2M)协议,可以在内存和计算资源稀缺的智能设备上运行。简单来说,CoAP与HTTP非常类似。但它不是工作在TCP包,而是在UDP上。就像HTTP用于在客户端和服务器之间传输数据和命令(GET,POST,CONNECT等)一样,CoAP也允许相同的多播和命令传输功能,但不需要那么多的资源,这使它成为物联网设备的理想选择。然而,就像其它基于UDP的协议,CoAP天生就容易受到IP地址欺骗和数据包放大的影响,这也是它容易被DDoS攻击滥用的主要原因。
WS-DD:Web服务动态发现(Web Services Dynamic Discovery)
WS-DD是一种局域网内的服务发现多播协议。但经常因为设备厂商的设计不当,当一个正常的IP地址发送服务发现报文时,设备也会对其进行回应。如果设备被暴露在互联网上,即可被攻击者用于DDoS反射攻击。WSD协议所对应的端口号是3702。当前,视频监控设备的ONVIF规范以及一些打印机,都开放或在正在使用WS-DD服务。其实早在2019年,绿盟科技格物实验室就对WS-DD可被用于反射攻击做出了分析。
http://blog.nsfocus.net/ws-discovery-reflection-attack-analysis/
ARMS:远程管理服务(Apple Remote Management Service)
2019年,已有不法分子利用Apple远程管理服务(ARMS)即Apple远程桌面(ARD)功能的一部分,实施了DDoS放大攻击。ARD启用后,ARMS服务开始在端口3283上侦听传输到远程Apple设备的入站命令,攻击者进而可以发动放大倍数为35.5的DDoS放大攻击。此漏洞的来源在于ARMS自身服务的设计缺陷。在使用UDP传输协议的情况下,客户端向netAssistant服务端口(即3283端口)发送一个UDP最小包,netAssistant服务便会返回携带有主机标识的超大包,请求与响应相差数十倍。由于其并未严格限制请求与响应比,导致暴露在公网中开启netAssistant服务的网络设备均有可能被当作反射源使用。
Jenkins:基于 Web 的自动化软件
Jenkins是一个开源的、可扩展的持续集成、交付、部署(软件/代码的编译、打包、部署)的基于Web的平台。Jenkins是一个执行自动化任务的开源服务器。利用Jenkins的漏洞(如CVE-2020-2100),可以用来发动 DDoS 攻击。尽管Jenkins v2.219中已经修复了这个漏洞,但是很多Jenkin服务器仍然会受到影响。
实际上,除了FBI 提及的这四种新型 DDoS 攻击途径,我们还应关注更多可用于反射放大攻击 ,工作在UDP 的协议。如SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY 等。
UDP反射放大攻击是近几年最火热,被利用最多的DDoS攻击方式之一。UDP数据包是无链接状态的服务,攻击者可以小代价的利用UDP 协议特性攻击目标主机,使其无法响应正确请求,以实现拒绝服务。
那么,我们应该如何应对UDP反射放大攻击?本文给出以下5种常用的防护思路:
1. 指纹学习算法:学习检查UDP报文中的Payload,自动提取攻击指纹特征,基于攻击特征自动进行丢弃或者限速等动作。
2. 流量波动抑制算法:产品通过对正常的业务流量进行学习建模,当某类异常流量出现快速突增的波动时,自动判断哪些是异常从而进行限速/封禁,以避免对正常流量造成影响。
3. 基于IP和端口的限速:通过对源IP、源端口、目标IP、目标端口的多种搭配组合进行限速控制,实现灵活有效的防护策略。
4. 服务白名单:对于已知的UDP反射协议,如DNS服务器的IP地址添加为白名单,除此之外,其他源IP的53端口请求包,全部封禁,使UDP反射放大攻击的影响面降低。
5. 地理位置过滤器:针对业务用户的地理位置特性,在遇到UDP反射攻击时,优先从用户量最少地理位置的源IP进行封禁阻断,直到将异常地理位置的源IP请求全部封禁,使流量降至服务器可处理的范围之内,可有效减轻干扰流量。
udp 协议阻断_应对UDP反射放大攻击的五种常用防护思路相关推荐
- DNS云学堂 | 如何防范一本万利的DNS反射放大攻击
一.前言 DNS诞生于上世纪80年代,就像很多新的技术出现只是为了解决一些简单的问题一样,其诞生之初也仅仅是为了解决网络上主机数量爆炸性的增长.IP地址不便于记忆的问题.其发明者可能连自己也没有想到, ...
- 【计算机网络】传输层 : 总结 ( TCP / UDP 协议 | 寻址与端口 | UDP 协议 | TCP 协议特点 | TCP 连接释放 | TCP 流量控制 | TCP 拥塞控制 ) ★★★
文章目录 一.传输层 TCP / UDP 协议 ★ 二.寻址端口号 ★ 三.UDP 协议特点 四.UDP 协议首部格式 五.UDP 校验 六.TCP 协议 特点 ★ 七.TCP 报文段首部格式 八.T ...
- udp协议服务器客户端流程图,UDP 协议通信服务器端客户端.doc
UDP 协议通信服务器端客户端 UDP 协议进行通信 --服务器端 UDP程序实例的基本使用情况和使用方法 这个系统由服务器程序udps和客户及程序udpc两个程序组成,如果从客户机出入一个特定命令, ...
- tcp协议和udp协议区别_TCP和UDP协议有什么区别?
tcp协议和udp协议区别 TCP and UDP are two protocols that are part of the transport layer in a TCP/IP model o ...
- UDP协议详解(UDP协议特点,UDP协议格式、UDP的应用)
目录 前言 1.UDP协议的特点 2. UDP协议格式的特点 3. UDP的应用 前言 TCP和UDP协议都是传输层的协议,其中传输层是负责端对端之间的连接,端是指端点. 端口的划分和知名端口 0~1 ...
- DNS反射放大攻击分析——DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器...
DNS反射放大攻击分析 摘自:http://www.shaojike.com/2016/08/19/DNS%E6%94%BE%E5%A4%A7%E6%94%BB%E5%87%BB%E7%AE%80%E ...
- NTP DDoS反射放大攻击实验
NTP:Network Time Protocol 网络时间协议(NTP)是一种通过因特网服务于计算机时钟的同步时间协议.它提供了一种同步时间机制,能在庞大而复杂多样因特网中用光速调整时间分配.它使用 ...
- UDP协议的特点及UDP头部结构
参考:王道<计算机网络复习指导> UDP协议的特点: (1)UDP无需建立连接.因此UDP不会引入建立连接的时延.试想如果DNS运行在TCP之上而不是UDP,则DNS的速度会满很多.HTT ...
- 基于UDP的DDos反射放大攻击
转自:https://www.us-cert.gov/ncas/alerts/TA14-017A 转载于:https://www.cnblogs.com/bonelee/p/7567373.html
最新文章
- ASP .NET Core MVC 控制器中获取当前登录用户
- python学习费用-深圳python学习费用
- dockerfile构建镜像的命令_编写Dockerfile的最佳实践
- boost::copy_n相关的测试程序
- 莫烦python博客_《莫烦Python》笔记 -- numpy部分
- 如何使用vue使同一个弹窗同时能实现添加和编辑
- Java 高级知识系列篇
- 大道至简-第一张 伪代码
- 【超详细!】【超全面!】计算机二级公共基础知识考点整理
- 利用adobe x pro批量合并pdf
- 迪兰RX550超能4G,这玩意儿居然可以开核?!!
- altera Cyclone V再认识
- 4816 江哥的dp题b
- mysql统计缺勤的天数_缺勤天数统计的处理示例.sql
- Ubuntu16.04系统迁移SSD
- 关于计算机国考知识点,2020国考申论知识点之了解阅卷人 (有课整理版)
- 前端性能优化——写给网页设计师和前端工程师看的
- JS获取网页大小和鼠标当前坐标
- Bia布刷题日记 LC-15 三数之和
- 转:新浪给微米定下了哪些要求?
热门文章
- 京东商品信息及其价格爬虫
- java selenium (十三) 智能等待页面加载完成
- HDU 3081Marriage Match II(二分法+并检查集合+网络流量的最大流量)
- Redis的安装及原理介绍
- 编程之美2.17 数组循环移位
- 用Windows Server 2003配置×××
- 吉他谱——寂寞是因为思念谁
- Codeforces.888G.Xor-MST(Borůvka算法求MST 贪心 Trie)
- iOS开发系列之 itms-services 协议
- php安装扩展igbinary