盘点：常见UDP反射放大攻击的类型与防御措施

时间 2019-11-15

原文原文链接

本文做者为易盾实验室工程师算法

1、DDoS攻击简介数据库

分布式拒绝服务攻击（Distributed Denial of Service）简称DDoS，亦称为阻断攻击或洪水攻击，是目前互联网最多见的一种攻击形式。DDoS攻击一般经过来自大量受感染的计算机（即僵尸网络）的流量，对目标网站或整个网络进行带宽或资源消耗，使目标没法处理大量数据包，致使服务中断或中止。缓存

UDP是网络通讯的标准协议，因为UDP数据包是无连接状态的服务，相对TCP而言，存在更少的错误检查和验证。攻击者能够更小代价的利用UDP 协议特性攻击目标主机，使其没法响应正确请求，甚至会致使线路拥塞。而UDP反射放大攻击，更是近几年最火热，被利用最多的攻击方式。成本之低，放大倍数之高，使各企业闻D色变。安全

2、UDP反射放大攻击原理服务器

不少协议在响应包处理时，要远大于请求包，一个字节的请求十个字的响应，十个字节的请求一百个字的响应，这就是UDP反射放大攻击最根本的原理。如下将Memcached服务做为实例进一步介绍。网络

Memcached是一款开源的高性能分布式内存对象缓存服务，经过缓存来下降对数据库的访问请求，加快应用程序的响应效率，能够应用于各种缓存需求中。经过查询缓存数据库，直接返回访问请求，下降对数据库的访问次数。架构

也正是这种服务机制，使攻击者有了可乘之机，借用正常服务达到攻击的目的。Memcached支持UDP协议的访问请求，而且默认也会将UDP端口11211对外开放，所以攻击者只须要经过快速的端口扫描，即可以收集到全球大量没有限制的Memcached服务器，随后攻击者只须要向Memcached服务器的UDP:11211端口，发送伪造为源IP的攻击目标IP地址的特定指定请求数据包，服务器在收到该数据包后，会将返回数据发送至攻击目标的IP地址。
分布式

黑客攻击者若是利用恶意软件的传播，来控制大量僵尸网络，再利用大量僵尸网络做为请求源，向Memcached服务器发起请求，并伪造数据包和攻击目标IP，则该返回的数据包将成指数级上升，比原始请求数据包扩大几百至几万倍，从而经过反射加放大的形式，使攻击目标拥塞，没法正常提供服务。以达到低成本化，高隐蔽性的攻击手段。
工具

3、常见UDP反射类型性能

除了常见的DNS，NTP等UDP反射放大攻击类型，目前还有其余十多种UDP协议，都可以用于反射放大攻击，如：SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY 等。放大倍数从几倍到几万倍，其中部分协议今天仍然很是流行。

此处整理了部分常见UDP反射放大协议，理论放大倍数和实际常见到的放大倍数做为对比，看看谁的放大威力更强。

因而可知，这种以小博大，四两拨千斤的效果使各企业异常头疼的，部分协议的UDP反射放大倍数，已经超越了单纯依靠技术能够防御的阶段，还须要投入大量的物料资源给予支持。

4、常见防御方式

针对此类强力的DDoS攻击方式，有哪些实用又性价比超高的防御手段？

因篇幅有限，下面来介绍比较好落地的防御流程，和几个简单有效的算法措施，可根据业务状况方便的开关增减，和闭环迭代，作到事前预防部署，事中策略对抗，过后分析总结。

通告类：关注各个设备和安全厂商，cncert发布的最新安全通告，及时更新针对性防御策略；

目标IP+源端口限速：能够用于控制反射性攻击，且能够预防未知的反射协议；

源IP限速：单个请求源IP的总体控制；

目标IP限速：单个攻击目标IP的总体可用性控制；

源IP+源端口限速：能够下降部分大客户源IP在访问请求时的反作用影响；

目标IP+目标端口限速：适用于目标IP端口开发范围较大时，可提升业务端口可用率，下降目标总体影响；

包文长度学习：经过对业务历史包文数据的统计学习，能够描绘出正常业务包大小的正态分布图，由此能够清晰识别出构造的超大或超小包攻击包文；

偏移字节数学习：检查学习各个UDP包文中相同偏移未知所包含的相同内容，并将此内容提出做为指纹特征，根据此指纹特征，能够判断UDP包文的丢弃或放行动做；

源端口波动限制：经过对业务正常的流量中，已知可被利用的UDP反射源端口进行统计，对源端口的数量执行监控，在这类源端口出现快速突增的波动时，将该源端口临时封禁，待源端口数量恢复后则解除封禁，能够大大下降攻击形成的影响性；

服务白名单：对于已知的UDP反射协议，如DNS服务器的IP地址添加为白名单，除此以外，其余源IP的53端口请求包，所有封禁，也能够大大减小反射可用点，使UDP反射放大攻击的影响面下降；

地理位置过滤器：针对业务用户的地理位置特性，在遇到UDP反射放大攻击时，可优先从用户量最少地理位置的源IP进行封禁阻断，直到将异常地理位置的源IP请求所有封禁掉，使流量降至服务器可处理的范围以内，或可有效减轻干扰流量，便于其余算法进一步处理；

扩容带宽服务器：加强带宽和服务器的处理能力，增长业务流量和处理极限的可容忍波动范围，能够减轻在防御过程当中形成的影响；

改进高可用架构：同上，能够增长业务流量和处理极限的可容忍波动范围，可增长分布式节点，可用性自动调度等机制，以保障有节点中断时快速切换到可用节点。

5、总结

UDP反射放大攻击，是一种具备超大攻击威力，且成本低廉，难以追踪的DDoS攻击方式。现在的DDoS黑产链已经至关的完善和成熟，各我的员的分工，资源获取，集中管控，需求中介，简易化操做工具，方便快速的发起攻击，已经成为黑产界最喜好的方式之一；

现在的DDoS攻击愈来愈广泛，天天都有各式各样的攻击不断在各处上演，攻击的流量也已经从G级别上升到T级别，一顿饭的价格，一支烟的时间，就能够给企业形成难以估计的经济损失和品牌受损。尤为是游戏类，金融类，电商类，都属于DDoS攻击的重灾区，若是可以充分借助大数据，人工智能技术，以及各大运营商，安全服务厂商的支持，和更有效的预警和防御处置方案，将会为企业的安全提供最有力的安全协同保障。