反射型DDoS攻击原理及防护

DDoS分类

SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC

Smurf 攻击

• 介绍
  Smurf 攻击是经典的 DDoS 攻击，Smurf 攻击是以最初发动这种攻击的程序名 Smurf 来命名。这种攻击方法结合使用了 IP 欺骗和 ICMP 回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。
• 攻击示意图

Smurf

• 防范

  1. 阻塞 Smurf 攻击的源头。Smurf 攻击依靠攻击者的力量使用欺骗性源地址发送 echo 请求，用户可以使用路由器的访问控制来保证内部网络中发出的所有传输信息都具有合法的源地址，以防止这种攻击。

  2. 阻塞 Smurf 的反弹站点。用户可以有两种选择以阻塞 Smurf 攻击的反弹站点。第一种方法可以通过 ACL 阻止所有入站 echo 请求，这样可以防止这些分组到达自己的网络。如果不能阻塞所有入站 echo 请求，用户就需要让自己的路由器把网络广播地址映射成为 LAN 广播地址。

DNS 反射攻击

• 介绍
  理论上来说 ISP 的 DNS 服务器只响应来自它自己客户 IP 的 DNS Query 响应，但事实上互联网上大量 DNS 服务的默认配置缺失，导致了会响应所有 IP 的 DNS Query 请求。同时，DNS 大部分使用 UDP 协议，UDP 协议没有握手过程让其去验证请求的源 IP。因此可照成反射DDoS攻击。

• 攻击示意图
  

  DNS 反射攻击

• 防范
  1.如果是 DNS 的管理员，需要加固 DNS 服务器，可以按照下面的配置关闭递归功能和限制可查询的 IP 地址。

  options { recursion no;};
  options { allow-query {192.168.1.0/24;};};
  

  2.如果是受害者，首先可以通过网络层的 ACL 规则来防御， 或者使用抗 DDoS 系统进行流量清洗，目前大部分的云服务商都有这类功能。

NTP 反射攻击

• 简介
  NTP 是网络时间协议（Network Time Protocol）的简称，是用来使计算机时间同步化的网络协议。NTP 包含一个 monlist 功能，也被称为 MON_GETLIST，主要用于监控 NTP 服务器，NTP 服务器响应 monlist 后就会返回与 NTP 服务器进行过时间同步的最后 600 个客户端的 IP，响应包按照每 6 个 IP 进行分割，最多有 100 个响应包。

• 测试
  通过 ntpdc 命令向一个 NTP 服务器发送 monlist 命令，并抓包测试。

  > ntpdc -n -c monlist x.x.x.x | wc -l
  602
  

  在上面的命令行中我们可以看到一次含有 monlist 的请求收到了 602 行数据，除去头两行是无效数据外，正好是 600 个客户端 IP 列表，并且从上图中的 wireshark 中我们也可看到显示有 101 个 NTP 协议的包，除去一个请求包，正好是 100 个响应包。

• 防御
  1.如果作为 NTP 管理员，需要加固 NTP 服务，NTP 服务器升级到 4.2.7p26 或者更高的版本。关闭现在 NTP 服务的 monlist 功能，在ntp.conf 配置文件中增加选项 disable monitor
  2.如果是受害者，首先可以通过网络层的 ACL 规则来防御， 或者使用抗 DDoS 系统进行流量清洗，目前大部分的云服务商都有这类功能。

SSDP 反射攻击

• 简介
  互联网上家用路由器、网络摄像头、打印机、智能家电等智能设备普遍采用 UPnP（即插即用）协议作为网络通讯协议， 而 UPnP 设备的发现是通过源端口为 1900 的 SSDP（简单服务发现协议）进行相互感知。
  利用 SSDP 协议进行反射攻击的原理与利用 DNS 服务、NTP 服务类似，都是伪造成被攻击者的 IP 地址向互联网上大量的智能设备发起 SSDP 请求，接收到请求的智能设备根据源 IP 地址将响应数据包返回给受害者。随着物联网和智能设备的快速发展和普及，利用智能设备展开 DDoS 攻击会越来越普遍。

• 攻击原理
  [参考]

• 防御
  1.对于不需要即插即用服务的设备，关闭即插即用服务。
  2.在被 SSDP DDoS 攻击的时候，通过网络设备的 ACL 规则过滤 SSDP 指纹过滤。或者引入 DDoS 防护系统。

小结

这里我们引入一个学术名词，带宽放大因子（BAF, Bandwidth Amplification Factor），它表示的是请求报文与响应报文的比例。对于各种协议的反射放大攻击，由于其不同版本的实现机制各不相同，加上对请求数据支持的多样性，同一服务的 BAF 值也会存有一定的差异，我们通过实验对比了各种协议的实验 BAF，可以让大家直观感受各种反射攻击的威力，了解攻击放大的倍数。

攻击放大的倍数表

反射 DDoS 攻击由于难以追踪、且不需要大量的肉鸡等特点，越来越流行，势必会对业务造成很大的威胁。除了需要各方通力合作对互联网上的设备和服务进行安全管理和安全配置消除反射站点之外，还需要在服务端做好防御准备，比如增加 ACL 过滤规则和 DDoS 清洗服务。

---

文章参考

• 反射型 DDoS 攻击的原理和防范措施