DDoS 反射攻击和 DDoS 放大攻击的工作原理
DDoS 反射攻击通过伪造被攻击者的 IP 地址、向有开放服务的服务器发送构造的请求报文,该服务器会将数倍于请求报文的回复数据发送到被攻击 IP,从而对目标服务器间接形成 DDoS 攻击。这种类型的攻击通常会利用用户数据报协议(UDP)追求速度、对源 IP 不进行认证的特点隐藏攻击者真实位置并潜在地消耗目标服务器资源。
除此之外,攻击者还可以利用UDP发起放大攻击,主要通过欺骗目标的IP地址,并向用于解析域名、同步计算机时钟或加快数据库缓存的配置不当的服务器发送数量较少的数据。由于服务器自动发送的响应比请求大几十倍、几百倍甚至几千倍,所以这种自动响应让受骗的目标不堪重负。DDoS放大攻击适用于各种通过 UDP 进行传输的协议,包括 DNS(域名系统)、mDNS(组播 DNS)、SSDP(简单服务发现协议)、SNMP(简单网络管理协议)、SLP(服务定位协议)等。
服务定位协议(SLP)漏洞
服务定位协议(SLP)用于本地网络中自动服务发现和应用程序之间的动态配置,使计算机和其他设备能够在局域网中找到服务,如打印机、文件服务器和其他网络资源。研究人员发现,要实现通过CVE-2023-29552漏洞发起放大攻击以影响SLP实体的目的,攻击者只需要在UDP 427端口找到一个SLP服务器并注册,然后以目标服务器的IP作为源地址反复对该服务发起请求,直到SLP拒绝服务。
与许多其他基于 UDP 的协议一样,由于攻击者可以通过一个 29 字节的请求来查询 SLP 服务器上的可用服务,而服务器回复通常在 48 到 350 字节之间,系数被发大了 1.6 倍到 12 倍之间,因此公共的 SLP 实例很可能会被滥用于 DDoS 放大攻击。但经研究人员调查发现,大量SLP允许未经身份验证的用户在SLP端点上注册任意新型服务,因而将后续服务器响应增加到UDP数据包的极限,即65,536字节。
研究人员基于攻击者角度模拟攻击流程,攻击者首先需要将数据包发送到SLP服务器以注册新服务,直到其缓冲区已满且服务器不再接受新注册。之后,攻击者可以通过发送虚假源 IP 地址的服务列表请求来进行常规反射攻击,将 29 字节请求生成 65,000 字节的响应,从而产生高达2200倍的放大系数,导致大规模的DDoS攻击
如何缓解 SLP 漏洞
为降低漏洞威胁,研究人员建议用户在直接连接到互联网的系统上禁用SLP,或过滤UDP和TCP 427端口流量以防止外部攻击者访问 SLP 服务。同时,用户还可以实施强有力的认证和访问控制,只允许授权用户访问正确的网络资源并对访问进行密切监控和审计。但由于SLP的分布范围之广、影响程度之深,基于SLP的DDoS攻击可能将在未来几周内大幅上升,因此除了企业运维人员日常的一些防范意识及操作外,第三方供应商提供的付费增值服务是最佳选择,网宿科技的DDoS云清洗、腾讯云的T-Sec DDoS 基础防护、阿里云的云盾等在技术和基础设施上均具备雄厚资源以抵抗DDoS攻击,企业可按需选择。
总之,防范和应对DDoS攻击需要多方面的措施和努力,只有加强安全意识,不断完善安全防护措施,才能更好地保护企业和组织的业务安全和声誉。
京公网安备 11010802033237号
