Akamai 針對 3 種新型反射式 DDoS 攻擊媒介發出警告

內容遞送網路（content delivery network，CDN）服務的廠商 Akamai Technologies, Inc.發表全新網路安全威脅建議書。Akamai 在近幾個月內已觀測到 3 種新型反射分散式阻斷服務（Distributed Denial of Service，DDoS）攻擊。建議書完整說明由 NetBIOS 名稱伺服器反射、RPC portmap 反射與 Sentinel 反射所導致的 DDoS 威脅，包含有效負載（payload）分析、網路入侵檢測（Snort）規則與系統強化的最佳實務。

何謂反射式 DDoS 攻擊？

反射式 DDoS 攻擊亦稱為 DrDoS 攻擊，其中牽涉 3 個參與者：攻擊者、不知情的幫兇（被攻擊者的伺服器）與攻擊目標。攻擊者會向攻擊目標的主機傳送一個簡單的要求，但是攻擊者會竄改（假造）該要求，讓其看起來像是由攻擊目標所發出，接著被攻擊者的伺服器會對假造的位址做出反應，將非必要的網路流量送往攻擊目標。攻擊者會挑選做出極大反應的受害者伺服器來發動反射式 DDoS 攻擊，如此便可放大攻擊力。攻擊者會運用攻擊工具的自動化程序，以高頻率向大量的受害目標送出成千上百個要求，藉此讓受害的伺服器發出洪水般無用的流量，導致目標因此阻斷服務。

Akamai 資訊安全事業單位資深副總裁兼總經理 Stuart Scholly 表示：「雖然反射式 DDoS 攻擊很常見，但這三種攻擊媒介對多種不同服務的濫用是前所未見的，這顯示出攻擊者持續地刺探整個網際網路，以便發現可利用的新資源。看起來沒有一個 UDP 服務逃得過 DDoS 攻擊者濫用的命運，因此伺服器管理員必須要關閉不必要的服務，或保護他們不受惡意反射攻擊者的利用。網際網路上遭到反射式 DDoS 攻擊利用而開啟的 UDP 服務數量多得驚人。」

新型反射式攻擊的攻擊工具之間互有關聯，都是源自相同 C 代碼的不同修改版本。每個攻擊媒介需要的基本條件亦都相同：一組向大量受害反射器發送假造申請的指令碼，其命令行的選項都很類似。

NetBIOS 名稱伺服器反射式 DDoS 攻擊

NetBIOS 反射式 DDoS 攻擊特指 NetBIOS 名稱服務（NetBIOS Name Service，NBNS）反射。Akamai 發現在 2015 年 3 月至 7 月間有零星的此類攻擊事件發生。NetBIOS 的主要目的是讓不同電腦上的應用程式可以互相傳遞訊息、建立溝通管道以使用共享資源，並在區域網路中找到彼此。

這種攻擊讓目標從伺服器所接收的反應流量，會是攻擊者原先發送的要求流量的 2.56 到 3.85 倍。依據 Akamai 所觀測到的 4 個 NetBIOS 名稱伺服器反射式攻擊，最大值的流量紀錄為 15.7 Gbps。雖然合法跟惡意的 NetBIOS 名稱伺服器要求很普遍，但直到 2015 年 3 月，當 Akamai 為客戶緩解 DDoS 攻擊時，回應式洪水攻擊才首次被偵測到。

RPC portmap 反射式 DDoS 攻擊

Akamai 第一次觀測到並進行緩解的 RPC portmap 反射式 DDoS 攻擊，發生在 2015 年 8 月的多媒介 DDoS 攻擊活動中。RPC portmap 亦稱為 port mapper，會教導用戶端該如何開啟開放網路運算遠端程序呼叫（Open Network Computing Remote Procedure Call，ONC RPC）服務的特定版本。

這種攻擊的特點在於其最大反應流量的放大係數為50.53，一般較常見的放大係數則為 9.65。Akamai 緩解的 4 個 RPC 反射式攻擊活動中，有一個流量超過 100 Gbps，是十分強大的攻擊。在 2015 年 9 月，Akamai 幾乎每天都觀測到針對不同目標的主動式惡意反射請求。