這篇文章將為大家詳細(xì)講解有關(guān)如何實現(xiàn)DDoS反射放大攻擊的全球探測分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

為安州等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及安州網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為做網(wǎng)站、網(wǎng)站制作、安州網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

一、更新情況

版本	時間	描述
第一版	2017/08/07	完成第一輪數(shù)據(jù)統(tǒng)計，輸出報告，完善文檔格式
第二版	2017/08/14	完成第二輪數(shù)據(jù)統(tǒng)計，輸出報告，完善文檔格式
第三版	2017/11/15	完成第三輪數(shù)據(jù)統(tǒng)計，在第二輪的基礎(chǔ)上增加對cldap的探測
第四版	2018/03/05	完成第四輪數(shù)據(jù)統(tǒng)計，在第三輪的基礎(chǔ)上增加對Memcached的探測

二、概述

DDos攻擊是一種耗盡資源的網(wǎng)絡(luò)攻擊方式，攻擊者通過大流量攻擊，有針對性的漏洞攻擊等耗盡目標(biāo)主機(jī)的資源來達(dá)到拒絕服務(wù)的目的。

反射放大攻擊是一種具有巨大攻擊力的DDoS攻擊方式。攻擊者只需要付出少量的代價，即可對需要攻擊的目標(biāo)產(chǎn)生巨大的流量，對網(wǎng)絡(luò)帶寬資源（網(wǎng)絡(luò)層）、連接資源（傳輸層）和計算機(jī)資源（應(yīng)用層）造成巨大的壓力，2016年10月美國Dyn公司的DNS服務(wù)器遭受DDoS攻擊，導(dǎo)致美國大范圍斷網(wǎng)。事后的攻擊流量分析顯示，DNS反射放大攻擊與SYN洪水攻擊是作為本次造成美國斷網(wǎng)的拒絕服務(wù)攻擊的主力。由于反射放大攻擊危害大，成本低，溯源難，被黑色產(chǎn)業(yè)從業(yè)者所喜愛。

三、第四輪放大攻擊數(shù)據(jù)分析

[注：下面數(shù)據(jù)統(tǒng)計均基于第四輪 2018/03/05]

第四輪探測，ZoomEye網(wǎng)絡(luò)空間探測引擎在對前面兩輪6種DDoS攻擊的探測的基礎(chǔ)上，增加了對Memcached攻擊的探測。

3.1 CHARGEN

通過ZoomEye網(wǎng)絡(luò)空間探測引擎獲取到9萬(95,010)臺主機(jī)開放了19端口。然后對這9萬主機(jī)進(jìn)行放大倍率的探測，實際上只有1萬(10,122)臺主機(jī)開啟了19點端口，占總數(shù)的10.65%。在開啟了19端口的主機(jī)中，有6千(6,485)臺主機(jī)的放大倍數(shù)能夠達(dá)到10倍以上，占總數(shù)的64.07%，剩下的主機(jī)的放大倍數(shù)主要集中在2倍。相關(guān)數(shù)據(jù)如圖3.1-1所示：

對放大倍數(shù)達(dá)到10以上的主機(jī)流量進(jìn)行統(tǒng)計，我們總共發(fā)送了870KB(891,693 byte)的請求流量，得到了71M(74,497,401 byte)響應(yīng)流量，產(chǎn)生了83倍的放大流量。假設(shè)一臺主機(jī)1分鐘內(nèi)可以成功響應(yīng)100個請求數(shù)據(jù)包，計算得到攻擊流量有947Mbits/s。本輪探測對最大放大倍數(shù)進(jìn)行了統(tǒng)計，得到了Chargen協(xié)議單次請求響應(yīng)最高能放大319倍流量。

上面的數(shù)據(jù)和之前兩次的的數(shù)據(jù)進(jìn)行比較，Chargen DDoS攻擊的危害并沒有減小，反而有增大的趨勢。

根據(jù)ZoomEye網(wǎng)絡(luò)空間探測引擎的探測結(jié)果，對可利用的Chargen主機(jī)進(jìn)行全球分布統(tǒng)計，見圖3.1-2：

3.1-2 Chargen協(xié)議19端口可利用主機(jī)全球分布圖

從圖中可以看出仍然是韓國具有最多數(shù)量的可被利用進(jìn)行DDos反射放大攻擊的主機(jī)，我國排在第二 。下面，對我國各省份的情況進(jìn)行統(tǒng)計，如圖3.1-3所示：

3-1.3 Chargen協(xié)議19端口可利用主機(jī)全國分布圖

3.2 NTP

通過ZoomEye網(wǎng)絡(luò)空間探測引擎獲取到14萬(147,526)臺開啟了UDP 123端口的主機(jī)。利用這些數(shù)據(jù)進(jìn)行放大倍率探測，實際上只有1千(1,723)臺主機(jī)開啟了UDP 123端口，占總數(shù)的1.17%，放大倍數(shù)大于10的主機(jī)只有4臺，占有響應(yīng)主機(jī)總數(shù)的0.23%，具體數(shù)量見圖3.2-1所示：

和上一次探測的結(jié)果相比，利用NTP進(jìn)行反射DDoS攻擊的隱患基本消除，不管是NTP服務(wù)器的總量還是可被利用服務(wù)器數(shù)量，都大幅度下降，尤其是本次探測中，只發(fā)現(xiàn)4臺可被利用的NTP服務(wù)器，而且這4臺皆位于日本。我國未被探測到可被利用的NTP服務(wù)器。

3.3 DNS

通過Zoomeye網(wǎng)絡(luò)空間探測引擎獲取到2千萬(21,261,177)臺UDP 53端口相關(guān)的主機(jī)，對這些主機(jī)進(jìn)行放大倍率探測，實際上只有384萬(3,847,687)臺主機(jī)開啟了53端口，占了掃描總數(shù)的18.1%。在開啟了53端口的主機(jī)中，有3萬(31,999)臺主機(jī)放大倍數(shù)在10倍以上，只占總數(shù)的0.83%，而放大倍數(shù)為1的主機(jī)有277萬(2,776,027)臺，具體數(shù)據(jù)見圖3.3-1：

和上一版的數(shù)據(jù)相比，互聯(lián)網(wǎng)上DNS服務(wù)器的和可被利用的DNS服務(wù)器數(shù)量均處于下降狀態(tài)。

下面，再來看看這3萬臺放大倍數(shù)大于10的主機(jī)全球分布情況，如圖3.3-2所示，可以看到，和上一輪相比，數(shù)量排名沒啥變化，仍然是美國排在第一位。我們又對可利用主機(jī)在我國的分布情況進(jìn)行了統(tǒng)計，如圖3.3-3所示，和上一輪相比，湖北省的DNS服務(wù)器數(shù)量有了明顯的提高。

3.3-2 DNS協(xié)議53端口可利用主機(jī)全球分布圖

3.3-3 DNS協(xié)議53端口可利用主機(jī)全國分布圖

3.4 SNMP

通過Zoomeye網(wǎng)絡(luò)空間探測引擎獲取到1千萬(11,681,422)臺UDP 161端口相關(guān)的主機(jī)，對這些主機(jī)進(jìn)行放大倍率探測，實際上有167萬(1,677,616)臺主機(jī)開啟了161端口，占了掃描總數(shù)的14.36%。在開啟了161端口的主機(jī)中，有61萬(617,980)臺主機(jī)放大倍數(shù)在10倍以上，占了總數(shù)的36.84%，具體數(shù)據(jù)見圖3.4-1：

本次探測得到的數(shù)據(jù)和前一輪的數(shù)據(jù)相比較，探測到的SNMP主機(jī)數(shù)增加，而可利用的主機(jī)數(shù)卻呈下降狀態(tài)。

下面，再來看看這61萬臺放大倍數(shù)大于10的主機(jī)全球分布情況，如圖3.4-2所示，可以看到，我國的主機(jī)量上升到了第二位。我們又對可利用主機(jī)在我國的分布情況進(jìn)行了統(tǒng)計，如圖3.4-3所示，臺灣，北京，黑龍江仍然是受影響最深的幾個省份之一。

3.4-2 SNMP協(xié)議161端口可利用主機(jī)全球分布圖

3.4-3 SNMP協(xié)議161端口可利用主機(jī)全國分布圖

3.5 SSDP

通過Zoomeye網(wǎng)絡(luò)空間探測引擎獲取到3千萬(32,522,480)臺UDP 1900端口相關(guān)的主機(jī)，對這些主機(jī)進(jìn)行放大倍率探測，實際上有60萬(609,014)臺主機(jī)開啟了1900端口，占了掃描總數(shù)的1.87%。在開啟了1900端口的主機(jī)中，有57萬(572,936)臺主機(jī)放大倍數(shù)在10倍以上，占了總數(shù)的94.08%，具體數(shù)據(jù)見圖3.5-1：

下面，再來看看這57萬臺放大倍數(shù)大于10的主機(jī)全球分布情況，如圖3.5-2所示，和上一輪探測的數(shù)據(jù)相比，沒有明顯的變化。 再對我國的數(shù)據(jù)進(jìn)行統(tǒng)計，如圖3.5-3所示，臺灣仍是我國可被利用的主機(jī)數(shù)最多的省份，遠(yuǎn)遠(yuǎn)超過我國的其他省份。

3.5-2 SSDP協(xié)議1900端口可利用主機(jī)全球分布圖

3.5-3 SSDP協(xié)議1900端口可利用主機(jī)全國分布圖

3.6 CLDAP

通過Zoomeye網(wǎng)絡(luò)空間探測引擎獲取到40萬(403,855)臺UDP 389端口相關(guān)的主機(jī)，對這些主機(jī)進(jìn)行放大倍率探測，實際上有1萬(17,725)臺主機(jī)開啟了389端口，占了掃描總數(shù)的4.39%。在開啟了389端口的主機(jī)中，有1萬(17,645)臺主機(jī)放大倍數(shù)在10倍以上，占了總數(shù)的99.55%，具體數(shù)據(jù)見圖3.6-1：

下面，再來看看這2萬臺放大倍數(shù)大于10的主機(jī)全球分布情況，如圖3.5-2所示，可以看到，美國仍然是可被利用的CLDAP服務(wù)器數(shù)量最多的國家，我國依舊排第三位。

我們又對可利用主機(jī)在我國的分布情況進(jìn)行了統(tǒng)計，如圖3.5-3所示，臺灣依然是我國可被利用的主機(jī)數(shù)最多的省份，和香港一起遠(yuǎn)遠(yuǎn)超過我國的其他省份地區(qū)。

3.6-2 LDAP協(xié)議389端口可利用主機(jī)全球分布圖

3.6-3 LDAP協(xié)議389端口可利用主機(jī)全國分布圖

3.7 Memcached

Memcached是一個自由開源的，高性能，分布式內(nèi)存對象緩存系統(tǒng)。Memcached是以LiveJournal旗下Danga Interactive公司的Brad Fitzpatric為首開發(fā)的一款軟件?，F(xiàn)在已成為mixi、hatena、Facebook、Vox、LiveJournal等眾多服務(wù)中提高Web應(yīng)用擴(kuò)展性的重要因素。

Memcached是一種基于內(nèi)存的key-value存儲，用來存儲小塊的任意數(shù)據(jù)（字符串、對象）。這些數(shù)據(jù)可以是數(shù)據(jù)庫調(diào)用、API調(diào)用或者是頁面渲染的結(jié)果。

Memcached簡潔而強(qiáng)大。它的簡潔設(shè)計便于快速開發(fā)，減輕開發(fā)難度，解決了大數(shù)據(jù)量緩存的很多問題。它的API兼容大部分流行的開發(fā)語言。

本質(zhì)上，它是一個簡潔的key-value存儲系統(tǒng)。一般的使用目的是，通過緩存數(shù)據(jù)庫查詢結(jié)果，減少數(shù)據(jù)庫訪問次數(shù)，以提高動態(tài)Web應(yīng)用的速度、提高可擴(kuò)展性。

Memcached Server在默認(rèn)情況下同時開啟了TCP/UDP 11211端口，并且無需認(rèn)證既可使用Memcached的儲存服務(wù)。2018年3月2日，ZoomEye對全網(wǎng)開啟了UDP 11211端口，并且無需認(rèn)證的Memcached進(jìn)行探測，共得到14142個目標(biāo)，并對這些目標(biāo)進(jìn)行全球分布統(tǒng)計，如圖3.7-1所示：

3.7-1 Memcached可被利用主機(jī)全球分布圖

從上圖中可以明顯的看出我國對安全問題的重視程度和國外仍然有較大的差距。在14142個有效目標(biāo)中，有11368個目標(biāo)的IP地址位于我國。下面再對我國的目標(biāo)進(jìn)行全國分布統(tǒng)計，如圖3.7-2所示：

3.7-2 Memcached可被利用主機(jī)全國分布圖

Memcached未開啟認(rèn)證的情況下，任何人都可以訪問Memcached服務(wù)器，儲存鍵值對，然后可以通過key來獲取value。所以，我們能在Memcached儲存一個key為1byte的，value為1kb的數(shù)據(jù)，然后我們再通過該key獲取到value，這樣就產(chǎn)生了將近1000倍的放大效果。Memcached在默認(rèn)情況下還會開啟UDP端口，所以這就導(dǎo)致了Memcached可以被利用來進(jìn)行DDoS放射放大攻擊。而Memcached能放大多少倍取決于：

1.Memcached服務(wù)器帶寬

2.Memcached能儲存的值的最大長度

利用自己的服務(wù)器進(jìn)行一個測試，首先讓能利用的Memcached儲存一個1kb長度的值，然后同時向所有目標(biāo)獲取值，能收到886Mbit/s的流量，如圖3.7-3所示：

3.7-3 流量統(tǒng)計圖    

四、總結(jié)

和前面三輪探測的數(shù)據(jù)相比，在第四輪的探測中，變化最大的是NTP服務(wù)，當(dāng)前互聯(lián)網(wǎng)的NTP服務(wù)器已經(jīng)沒辦法造成大流量的DDoS反射放大攻擊了。與之相比，其他協(xié)議也或多或少的降低了可被利用的主機(jī)數(shù)量 。DDoS反射放大攻擊仍然危害巨大，DDoS防御仍然刻不容緩。

從這次ZoomEye探測到的數(shù)據(jù)中，再和公網(wǎng)上的Memcached服務(wù)進(jìn)行對比：

4-4 ZoomEye探測11211端口數(shù)量

在ZoomEye的數(shù)據(jù)庫中，開啟11211端口的目標(biāo)有54萬，其中美國有23萬，中國有13萬的目標(biāo)，但是開啟了UDP 11211端口的數(shù)據(jù)中，總量只有14142，其中美國有1070的目標(biāo)，中國有11368個目標(biāo)主機(jī)。

從這些數(shù)據(jù)對比中，可以看出美國對此類的安全事件有非?？斓捻憫?yīng)速度，中國和美國的差距還很大。

從放大效果來看，雖然可利用的目標(biāo)已經(jīng)縮減到1萬的量級，但是仍然能造成大流量的DDos攻擊。

對于Memcached的用戶，我們建議關(guān)閉其UDP端口，并且啟用SASL 認(rèn)證，對于運營商，建議在路由器上增加的uRPF(Unicast Reverse Path Forwarding)機(jī)制，該機(jī)制是一種單播反向路由查找技術(shù)，用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為，利用該機(jī)制能使得UDP反射攻擊失效。

關(guān)于如何實現(xiàn)DDoS反射放大攻擊的全球探測分析就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

當(dāng)前文章：如何實現(xiàn)DDoS反射放大攻擊的全球探測分析
網(wǎng)頁路徑：http://chinadenli.net/article20/iecpco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、外貿(mào)網(wǎng)站建設(shè)、全網(wǎng)營銷推廣、ChatGPT、App開發(fā)、網(wǎng)頁設(shè)計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)