端口映射:新的DDoS放大攻擊

昨日,錘子發布會出現一些問題,據悉是其官網服務器遭遇了數十G流量DDoS攻擊,這種大流量的DDoS攻擊行為,恰恰印證了《2015 H1綠盟科技DDoS威脅報告》中的觀點,大流量攻擊呈現增長趨勢。

DDoS大流量攻擊威脅互聯網安全

報告中指出2015上半年中發現的大流量攻擊流量,其種類以UDP混合流量為主(72%)。報告還指出有兩種客觀的因素為大流量攻擊創造了條件,1隨著“寬帶中國”戰略實施方案的推進,城市和農村家庭寬帶接入能力逐步達到20兆比特每秒(Mbps)和4Mbps,部分發達城市達到100Mbps,同時連接速度也在上升;2智能路由器等智能設備普遍存在安全性問題,它們常被利用成為放大攻擊的源頭,最高放大系數可達75。而從2014到2015 H1,這些問題并未得到好轉。

新的DDoS放大攻擊形式 端口映射

而今天Level 3 Threat Research Labs發現了一種新的DDoS放大攻擊形式,放大系數最高可達28.4,這就是Portmapper。Portmapper(也稱rpcbind、portmap或RPCPortmapper)是一種端口映射功能,常用于將內部網絡中的服務端口發布到互聯網。Portmapper可以視為一項RPC目錄服務。當客戶端尋求合適的服務時,可在Portmapper中查找。針對這些查詢,Portmapper返回的響應大小不一,主要取決于主機上運行的是哪項RPC服務。
Portmapper可在TCP或UDP 111端口上運行。UDP端口就常常用來偽造的UDP請求,以便進行放大式攻擊。正常情況下該響應包是比較小的,只有486字節,對比其查詢請求(68字節),放大系數為7.1x。在廣譜平臺上,我們看到最高響應包高達1930字節,放大系數為28.4x。
我們統計了網絡中前300名查詢者的流量,并計算平均響應包大小。計算結果表明,平均響應包大小為1241字節(放大系數為18.3x)如果是DDoS攻擊,我們發現,平均響應包大小為1348字節(放大系數為19.8x)顯然,Portmapper作為DDoS攻擊形式時,這些放大系數十分可怕。

端口映射放大式攻擊增長迅猛

其他反射攻擊方法在過去幾周內表現平穩,而這個特殊的攻擊向量卻迅速增長。

與6月最后7天內的全局portmap流量相比,8月12日前7天的流量增長了22倍。顯然,成功利用這種方法的攻擊正在大肆增長。而與其他流行的UDP服務相比,Portmapper的全局流量仍然很小。

Portmapper的全局流量是如此之小,它幾乎被標注在圖表的底部紅線位置。但要啟動請求過濾并從互聯網上移除反射主機,以預防更大規模的攻擊和造成更多的損害,尚需時日。

 

建議防范UDP

Portmapper在互聯網上成為反射型和放大型DDoS攻擊的新形式。各機構或組織,如果需要在其環境中繼續使用Portmapper提供端口映射服務,就需要對這些端口及流量展開清洗。但是Portmapper只是一種攻擊形式,在許多的服務器上,還存在大量的RPC服務調用,它們也都使用UDP端口,這些服務也存在DDoS反射或放大攻擊的可能。必要的情況下,可以考慮禁用這些RPC服務調用。在《2015 H1綠盟科技DDoS威脅報告》中,可以看到某大型互聯網企業就深受UDP大流量攻擊之痛。

所以我們建議,需要在開放的互聯網上嚴格審查Portmapper、NFS、NIS以及所有其他RPC服務。在服務必須開啟的情況下,配置防火墻決定哪些IP地址可以訪問這些服務,之后只允許這些IP地址發送TCP請求,以避免這些IP地址在不知情的情況下參與DDoS攻擊。

以上Portmapper的相關內容,引自Level 3 Threat Research Labs發布的研究成果。需要了解2015年DDoS威脅發展態勢,請查詢《2015 H1綠盟科技DDoS威脅報告》

【via@綠盟科技