這篇文章將為大家詳細(xì)講解有關(guān)如何實(shí)現(xiàn)DDoS反射放大攻擊的全球探測(cè)分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

為安州等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及安州網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為做網(wǎng)站、網(wǎng)站制作、安州網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

一、更新情況

版本	時(shí)間	描述
第一版	2017/08/07	完成第一輪數(shù)據(jù)統(tǒng)計(jì)，輸出報(bào)告，完善文檔格式
第二版	2017/08/14	完成第二輪數(shù)據(jù)統(tǒng)計(jì)，輸出報(bào)告，完善文檔格式
第三版	2017/11/15	完成第三輪數(shù)據(jù)統(tǒng)計(jì)，在第二輪的基礎(chǔ)上增加對(duì)cldap的探測(cè)
第四版	2018/03/05	完成第四輪數(shù)據(jù)統(tǒng)計(jì)，在第三輪的基礎(chǔ)上增加對(duì)Memcached的探測(cè)

二、概述

DDos攻擊是一種耗盡資源的網(wǎng)絡(luò)攻擊方式，攻擊者通過大流量攻擊，有針對(duì)性的漏洞攻擊等耗盡目標(biāo)主機(jī)的資源來達(dá)到拒絕服務(wù)的目的。

反射放大攻擊是一種具有巨大攻擊力的DDoS攻擊方式。攻擊者只需要付出少量的代價(jià)，即可對(duì)需要攻擊的目標(biāo)產(chǎn)生巨大的流量，對(duì)網(wǎng)絡(luò)帶寬資源（網(wǎng)絡(luò)層）、連接資源（傳輸層）和計(jì)算機(jī)資源（應(yīng)用層）造成巨大的壓力，2016年10月美國(guó)Dyn公司的DNS服務(wù)器遭受DDoS攻擊，導(dǎo)致美國(guó)大范圍斷網(wǎng)。事后的攻擊流量分析顯示，DNS反射放大攻擊與SYN洪水攻擊是作為本次造成美國(guó)斷網(wǎng)的拒絕服務(wù)攻擊的主力。由于反射放大攻擊危害大，成本低，溯源難，被黑色產(chǎn)業(yè)從業(yè)者所喜愛。

三、第四輪放大攻擊數(shù)據(jù)分析

[注：下面數(shù)據(jù)統(tǒng)計(jì)均基于第四輪 2018/03/05]

第四輪探測(cè)，ZoomEye網(wǎng)絡(luò)空間探測(cè)引擎在對(duì)前面兩輪6種DDoS攻擊的探測(cè)的基礎(chǔ)上，增加了對(duì)Memcached攻擊的探測(cè)。

3.1 CHARGEN

通過ZoomEye網(wǎng)絡(luò)空間探測(cè)引擎獲取到9萬(95,010)臺(tái)主機(jī)開放了19端口。然后對(duì)這9萬主機(jī)進(jìn)行放大倍率的探測(cè)，實(shí)際上只有1萬(10,122)臺(tái)主機(jī)開啟了19點(diǎn)端口，占總數(shù)的10.65%。在開啟了19端口的主機(jī)中，有6千(6,485)臺(tái)主機(jī)的放大倍數(shù)能夠達(dá)到10倍以上，占總數(shù)的64.07%，剩下的主機(jī)的放大倍數(shù)主要集中在2倍。相關(guān)數(shù)據(jù)如圖3.1-1所示：

對(duì)放大倍數(shù)達(dá)到10以上的主機(jī)流量進(jìn)行統(tǒng)計(jì)，我們總共發(fā)送了870KB(891,693 byte)的請(qǐng)求流量，得到了71M(74,497,401 byte)響應(yīng)流量，產(chǎn)生了83倍的放大流量。假設(shè)一臺(tái)主機(jī)1分鐘內(nèi)可以成功響應(yīng)100個(gè)請(qǐng)求數(shù)據(jù)包，計(jì)算得到攻擊流量有947Mbits/s。本輪探測(cè)對(duì)最大放大倍數(shù)進(jìn)行了統(tǒng)計(jì)，得到了Chargen協(xié)議單次請(qǐng)求響應(yīng)最高能放大319倍流量。

上面的數(shù)據(jù)和之前兩次的的數(shù)據(jù)進(jìn)行比較，Chargen DDoS攻擊的危害并沒有減小，反而有增大的趨勢(shì)。

根據(jù)ZoomEye網(wǎng)絡(luò)空間探測(cè)引擎的探測(cè)結(jié)果，對(duì)可利用的Chargen主機(jī)進(jìn)行全球分布統(tǒng)計(jì)，見圖3.1-2：

3.1-2 Chargen協(xié)議19端口可利用主機(jī)全球分布圖

從圖中可以看出仍然是韓國(guó)具有最多數(shù)量的可被利用進(jìn)行DDos反射放大攻擊的主機(jī)，我國(guó)排在第二 。下面，對(duì)我國(guó)各省份的情況進(jìn)行統(tǒng)計(jì)，如圖3.1-3所示：

3-1.3 Chargen協(xié)議19端口可利用主機(jī)全國(guó)分布圖

3.2 NTP

通過ZoomEye網(wǎng)絡(luò)空間探測(cè)引擎獲取到14萬(147,526)臺(tái)開啟了UDP 123端口的主機(jī)。利用這些數(shù)據(jù)進(jìn)行放大倍率探測(cè)，實(shí)際上只有1千(1,723)臺(tái)主機(jī)開啟了UDP 123端口，占總數(shù)的1.17%，放大倍數(shù)大于10的主機(jī)只有4臺(tái)，占有響應(yīng)主機(jī)總數(shù)的0.23%，具體數(shù)量見圖3.2-1所示：

和上一次探測(cè)的結(jié)果相比，利用NTP進(jìn)行反射DDoS攻擊的隱患基本消除，不管是NTP服務(wù)器的總量還是可被利用服務(wù)器數(shù)量，都大幅度下降，尤其是本次探測(cè)中，只發(fā)現(xiàn)4臺(tái)可被利用的NTP服務(wù)器，而且這4臺(tái)皆位于日本。我國(guó)未被探測(cè)到可被利用的NTP服務(wù)器。

3.3 DNS

通過Zoomeye網(wǎng)絡(luò)空間探測(cè)引擎獲取到2千萬(21,261,177)臺(tái)UDP 53端口相關(guān)的主機(jī)，對(duì)這些主機(jī)進(jìn)行放大倍率探測(cè)，實(shí)際上只有384萬(3,847,687)臺(tái)主機(jī)開啟了53端口，占了掃描總數(shù)的18.1%。在開啟了53端口的主機(jī)中，有3萬(31,999)臺(tái)主機(jī)放大倍數(shù)在10倍以上，只占總數(shù)的0.83%，而放大倍數(shù)為1的主機(jī)有277萬(2,776,027)臺(tái)，具體數(shù)據(jù)見圖3.3-1：

和上一版的數(shù)據(jù)相比，互聯(lián)網(wǎng)上DNS服務(wù)器的和可被利用的DNS服務(wù)器數(shù)量均處于下降狀態(tài)。

下面，再來看看這3萬臺(tái)放大倍數(shù)大于10的主機(jī)全球分布情況，如圖3.3-2所示，可以看到，和上一輪相比，數(shù)量排名沒啥變化，仍然是美國(guó)排在第一位。我們又對(duì)可利用主機(jī)在我國(guó)的分布情況進(jìn)行了統(tǒng)計(jì)，如圖3.3-3所示，和上一輪相比，湖北省的DNS服務(wù)器數(shù)量有了明顯的提高。

3.3-2 DNS協(xié)議53端口可利用主機(jī)全球分布圖

3.3-3 DNS協(xié)議53端口可利用主機(jī)全國(guó)分布圖

3.4 SNMP

通過Zoomeye網(wǎng)絡(luò)空間探測(cè)引擎獲取到1千萬(11,681,422)臺(tái)UDP 161端口相關(guān)的主機(jī)，對(duì)這些主機(jī)進(jìn)行放大倍率探測(cè)，實(shí)際上有167萬(1,677,616)臺(tái)主機(jī)開啟了161端口，占了掃描總數(shù)的14.36%。在開啟了161端口的主機(jī)中，有61萬(617,980)臺(tái)主機(jī)放大倍數(shù)在10倍以上，占了總數(shù)的36.84%，具體數(shù)據(jù)見圖3.4-1：

本次探測(cè)得到的數(shù)據(jù)和前一輪的數(shù)據(jù)相比較，探測(cè)到的SNMP主機(jī)數(shù)增加，而可利用的主機(jī)數(shù)卻呈下降狀態(tài)。

下面，再來看看這61萬臺(tái)放大倍數(shù)大于10的主機(jī)全球分布情況，如圖3.4-2所示，可以看到，我國(guó)的主機(jī)量上升到了第二位。我們又對(duì)可利用主機(jī)在我國(guó)的分布情況進(jìn)行了統(tǒng)計(jì)，如圖3.4-3所示，臺(tái)灣，北京，黑龍江仍然是受影響最深的幾個(gè)省份之一。

3.4-2 SNMP協(xié)議161端口可利用主機(jī)全球分布圖

3.4-3 SNMP協(xié)議161端口可利用主機(jī)全國(guó)分布圖

3.5 SSDP

通過Zoomeye網(wǎng)絡(luò)空間探測(cè)引擎獲取到3千萬(32,522,480)臺(tái)UDP 1900端口相關(guān)的主機(jī)，對(duì)這些主機(jī)進(jìn)行放大倍率探測(cè)，實(shí)際上有60萬(609,014)臺(tái)主機(jī)開啟了1900端口，占了掃描總數(shù)的1.87%。在開啟了1900端口的主機(jī)中，有57萬(572,936)臺(tái)主機(jī)放大倍數(shù)在10倍以上，占了總數(shù)的94.08%，具體數(shù)據(jù)見圖3.5-1：

下面，再來看看這57萬臺(tái)放大倍數(shù)大于10的主機(jī)全球分布情況，如圖3.5-2所示，和上一輪探測(cè)的數(shù)據(jù)相比，沒有明顯的變化。 再對(duì)我國(guó)的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，如圖3.5-3所示，臺(tái)灣仍是我國(guó)可被利用的主機(jī)數(shù)最多的省份，遠(yuǎn)遠(yuǎn)超過我國(guó)的其他省份。

3.5-2 SSDP協(xié)議1900端口可利用主機(jī)全球分布圖

3.5-3 SSDP協(xié)議1900端口可利用主機(jī)全國(guó)分布圖

3.6 CLDAP

通過Zoomeye網(wǎng)絡(luò)空間探測(cè)引擎獲取到40萬(403,855)臺(tái)UDP 389端口相關(guān)的主機(jī)，對(duì)這些主機(jī)進(jìn)行放大倍率探測(cè)，實(shí)際上有1萬(17,725)臺(tái)主機(jī)開啟了389端口，占了掃描總數(shù)的4.39%。在開啟了389端口的主機(jī)中，有1萬(17,645)臺(tái)主機(jī)放大倍數(shù)在10倍以上，占了總數(shù)的99.55%，具體數(shù)據(jù)見圖3.6-1：

下面，再來看看這2萬臺(tái)放大倍數(shù)大于10的主機(jī)全球分布情況，如圖3.5-2所示，可以看到，美國(guó)仍然是可被利用的CLDAP服務(wù)器數(shù)量最多的國(guó)家，我國(guó)依舊排第三位。

我們又對(duì)可利用主機(jī)在我國(guó)的分布情況進(jìn)行了統(tǒng)計(jì)，如圖3.5-3所示，臺(tái)灣依然是我國(guó)可被利用的主機(jī)數(shù)最多的省份，和香港一起遠(yuǎn)遠(yuǎn)超過我國(guó)的其他省份地區(qū)。

3.6-2 LDAP協(xié)議389端口可利用主機(jī)全球分布圖

3.6-3 LDAP協(xié)議389端口可利用主機(jī)全國(guó)分布圖

3.7 Memcached

Memcached是一個(gè)自由開源的，高性能，分布式內(nèi)存對(duì)象緩存系統(tǒng)。Memcached是以LiveJournal旗下Danga Interactive公司的Brad Fitzpatric為首開發(fā)的一款軟件?，F(xiàn)在已成為mixi、hatena、Facebook、Vox、LiveJournal等眾多服務(wù)中提高Web應(yīng)用擴(kuò)展性的重要因素。

Memcached是一種基于內(nèi)存的key-value存儲(chǔ)，用來存儲(chǔ)小塊的任意數(shù)據(jù)（字符串、對(duì)象）。這些數(shù)據(jù)可以是數(shù)據(jù)庫(kù)調(diào)用、API調(diào)用或者是頁(yè)面渲染的結(jié)果。

Memcached簡(jiǎn)潔而強(qiáng)大。它的簡(jiǎn)潔設(shè)計(jì)便于快速開發(fā)，減輕開發(fā)難度，解決了大數(shù)據(jù)量緩存的很多問題。它的API兼容大部分流行的開發(fā)語(yǔ)言。

本質(zhì)上，它是一個(gè)簡(jiǎn)潔的key-value存儲(chǔ)系統(tǒng)。一般的使用目的是，通過緩存數(shù)據(jù)庫(kù)查詢結(jié)果，減少數(shù)據(jù)庫(kù)訪問次數(shù)，以提高動(dòng)態(tài)Web應(yīng)用的速度、提高可擴(kuò)展性。

Memcached Server在默認(rèn)情況下同時(shí)開啟了TCP/UDP 11211端口，并且無需認(rèn)證既可使用Memcached的儲(chǔ)存服務(wù)。2018年3月2日，ZoomEye對(duì)全網(wǎng)開啟了UDP 11211端口，并且無需認(rèn)證的Memcached進(jìn)行探測(cè)，共得到14142個(gè)目標(biāo)，并對(duì)這些目標(biāo)進(jìn)行全球分布統(tǒng)計(jì)，如圖3.7-1所示：

3.7-1 Memcached可被利用主機(jī)全球分布圖

從上圖中可以明顯的看出我國(guó)對(duì)安全問題的重視程度和國(guó)外仍然有較大的差距。在14142個(gè)有效目標(biāo)中，有11368個(gè)目標(biāo)的IP地址位于我國(guó)。下面再對(duì)我國(guó)的目標(biāo)進(jìn)行全國(guó)分布統(tǒng)計(jì)，如圖3.7-2所示：

3.7-2 Memcached可被利用主機(jī)全國(guó)分布圖

Memcached未開啟認(rèn)證的情況下，任何人都可以訪問Memcached服務(wù)器，儲(chǔ)存鍵值對(duì)，然后可以通過key來獲取value。所以，我們能在Memcached儲(chǔ)存一個(gè)key為1byte的，value為1kb的數(shù)據(jù)，然后我們?cè)偻ㄟ^該key獲取到value，這樣就產(chǎn)生了將近1000倍的放大效果。Memcached在默認(rèn)情況下還會(huì)開啟UDP端口，所以這就導(dǎo)致了Memcached可以被利用來進(jìn)行DDoS放射放大攻擊。而Memcached能放大多少倍取決于：

1.Memcached服務(wù)器帶寬

2.Memcached能儲(chǔ)存的值的最大長(zhǎng)度

利用自己的服務(wù)器進(jìn)行一個(gè)測(cè)試，首先讓能利用的Memcached儲(chǔ)存一個(gè)1kb長(zhǎng)度的值，然后同時(shí)向所有目標(biāo)獲取值，能收到886Mbit/s的流量，如圖3.7-3所示：

3.7-3 流量統(tǒng)計(jì)圖    

四、總結(jié)

和前面三輪探測(cè)的數(shù)據(jù)相比，在第四輪的探測(cè)中，變化最大的是NTP服務(wù)，當(dāng)前互聯(lián)網(wǎng)的NTP服務(wù)器已經(jīng)沒辦法造成大流量的DDoS反射放大攻擊了。與之相比，其他協(xié)議也或多或少的降低了可被利用的主機(jī)數(shù)量 。DDoS反射放大攻擊仍然危害巨大，DDoS防御仍然刻不容緩。

從這次ZoomEye探測(cè)到的數(shù)據(jù)中，再和公網(wǎng)上的Memcached服務(wù)進(jìn)行對(duì)比：

4-4 ZoomEye探測(cè)11211端口數(shù)量

在ZoomEye的數(shù)據(jù)庫(kù)中，開啟11211端口的目標(biāo)有54萬，其中美國(guó)有23萬，中國(guó)有13萬的目標(biāo)，但是開啟了UDP 11211端口的數(shù)據(jù)中，總量只有14142，其中美國(guó)有1070的目標(biāo)，中國(guó)有11368個(gè)目標(biāo)主機(jī)。

從這些數(shù)據(jù)對(duì)比中，可以看出美國(guó)對(duì)此類的安全事件有非?？斓捻憫?yīng)速度，中國(guó)和美國(guó)的差距還很大。

從放大效果來看，雖然可利用的目標(biāo)已經(jīng)縮減到1萬的量級(jí)，但是仍然能造成大流量的DDos攻擊。

對(duì)于Memcached的用戶，我們建議關(guān)閉其UDP端口，并且啟用SASL 認(rèn)證，對(duì)于運(yùn)營(yíng)商，建議在路由器上增加的uRPF(Unicast Reverse Path Forwarding)機(jī)制，該機(jī)制是一種單播反向路由查找技術(shù)，用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為，利用該機(jī)制能使得UDP反射攻擊失效。

關(guān)于如何實(shí)現(xiàn)DDoS反射放大攻擊的全球探測(cè)分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。

當(dāng)前文章：如何實(shí)現(xiàn)DDoS反射放大攻擊的全球探測(cè)分析
網(wǎng)頁(yè)路徑：http://www.ekvhdxd.cn/article20/iecpco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、外貿(mào)網(wǎng)站建設(shè)、全網(wǎng)營(yíng)銷推廣、ChatGPT、App開發(fā)、網(wǎng)頁(yè)設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)