Akamai 針對 3 種新型反射式 DDoS 攻擊媒介發出警告

作者 | 發布日期 2015 年 11 月 02 日 15:25 | 分類 伺服器 , 市場動態 , 網路 follow us in feedly
Flickr/Tyler Karaszewski

內容遞送網路 (content delivery network,CDN) 服務的廠商 Akamai Technologies, Inc.發表全新網路安全威脅建議書。Akamai 在近幾個月內已觀測到 3 種新型反射分散式阻斷服務 (Distributed Denial of Service,DDoS) 攻擊。建議書完整說明由 NetBIOS 名稱伺服器反射、RPC portmap 反射與 Sentinel 反射所導致的 DDoS 威脅,包含有效負載 (payload) 分析、網路入侵檢測(Snort) 規則與系統強化的最佳實務。



何謂反射式 DDoS 攻擊?

反射式 DDoS 攻擊亦稱為 DrDoS 攻擊,其中牽涉 3 個參與者:攻擊者、不知情的幫兇 (被攻擊者的伺服器) 與攻擊目標。攻擊者會向攻擊目標的主機傳送一個簡單的要求,但是攻擊者會竄改 (假造) 該要求,讓其看起來像是由攻擊目標所發出,接著被攻擊者的伺服器會對假造的位址做出反應,將非必要的網路流量送往攻擊目標。攻擊者會挑選做出極大反應的受害者伺服器來發動反射式 DDoS 攻擊,如此便可放大攻擊力。攻擊者會運用攻擊工具的自動化程序,以高頻率向大量的受害目標送出成千上百個要求,藉此讓受害的伺服器發出洪水般無用的流量,導致目標因此阻斷服務。

Akamai 資訊安全事業單位資深副總裁兼總經理 Stuart Scholly 表示:「雖然反射式 DDoS 攻擊很常見,但這三種攻擊媒介對多種不同服務的濫用是前所未見的,這顯示出攻擊者持續地刺探整個網際網路,以便發現可利用的新資源。看起來沒有一個 UDP 服務逃得過 DDoS 攻擊者濫用的命運,因此伺服器管理員必須要關閉不必要的服務,或保護他們不受惡意反射攻擊者的利用。網際網路上遭到反射式 DDoS 攻擊利用而開啟的 UDP 服務數量多得驚人。」

新型反射式攻擊的攻擊工具之間互有關聯,都是源自相同 C 代碼的不同修改版本。每個攻擊媒介需要的基本條件亦都相同:一組向大量受害反射器發送假造申請的指令碼,其命令行的選項都很類似。

 

NetBIOS 名稱伺服器反射式 DDoS 攻擊

NetBIOS 反射式 DDoS 攻擊特指 NetBIOS 名稱服務 (NetBIOS Name Service,NBNS) 反射。Akamai 發現在 2015 年 3 月至 7 月間有零星的此類攻擊事件發生。NetBIOS 的主要目的是讓不同電腦上的應用程式可以互相傳遞訊息、建立溝通管道以使用共享資源,並在區域網路中找到彼此。

這種攻擊讓目標從伺服器所接收的反應流量,會是攻擊者原先發送的要求流量的 2.56 到 3.85 倍。依據 Akamai 所觀測到的 4 個 NetBIOS 名稱伺服器反射式攻擊,最大值的流量紀錄為 15.7 Gbps。雖然合法跟惡意的 NetBIOS 名稱伺服器要求很普遍,但直到 2015 年 3 月,當 Akamai 為客戶緩解 DDoS 攻擊時,回應式洪水攻擊才首次被偵測到。

 

RPC portmap 反射式 DDoS 攻擊

Akamai 第一次觀測到並進行緩解的 RPC portmap 反射式 DDoS 攻擊,發生在 2015 年 8 月的多媒介 DDoS 攻擊活動中。RPC portmap 亦稱為 port mapper,會教導用戶端該如何開啟開放網路運算遠端程序呼叫 (Open Network Computing Remote Procedure Call,ONC RPC) 服務的特定版本。

這種攻擊的特點在於其最大反應流量的放大係數為50.53,一般較常見的放大係數則為 9.65。Akamai 緩解的 4 個 RPC 反射式攻擊活動中,有一個流量超過 100 Gbps,是十分強大的攻擊。在 2015 年 9 月,Akamai 幾乎每天都觀測到針對不同目標的主動式惡意反射請求。

 

Sentinel 反射式 DDoS 攻擊

2015 年 6 月,斯德哥爾摩大學觀測到第一個 Sentinel 反射式 DDoS 攻擊,並判定為 SPSS 統計軟體套件授權伺服器上的漏洞。Akamai 於 2015 年 9 月緩解了兩個 Sentinel 反射式 DDoS 攻擊活動,攻擊來源包含可使用高頻寬的強大伺服器,例如大學伺服器。

此次攻擊的放大係數為 42.94,但只識別出 745 個獨立的攻擊流量來源。即使網路連線良好的伺服器能提供額外的頻寬,此類攻擊仍受限於可用反射器的數量。有一次攻擊的高峰流量達 11.7 Gbps。

 

DDoS 緩解與系統強化

以這 3 種攻擊媒介來說,上游篩選或許是 DDoS 緩解的可行方案,否則就需要雲端型 DDoS 緩解服務供應商的幫助。威脅建議書提供一個網路入侵檢測 (Snort) 的緩解規則,可偵測出由 RPC portmap 攻擊工具所產生的惡意要求。類似的規則也可用來偵測 Sentinel 服務。

Sholly 表示:「對於這 3 種服務,管理員應該要思考這些服務是否需要對網際網路上的所有人開放。以 NetBIOS 而言,可能沒有開放的必要,但另外兩種可能就有需要,而問題就該轉而考量保護的方式。RPC 和 Sentinel 的流量可利用侵入式偵測系統來監控。」

(首圖來源:Flickr/Tyler Karaszewski CC BY 2.0) 

關鍵字: , , , ,

發表迴響