来自 安全 2021-06-09 12:07 的文章

云防护_高防浪琴表价格图片_指南

云防护_高防浪琴表价格图片_指南

分布式拒绝服务(DDoS)攻击是一个巨大的网络安全问题。他们只会变得更糟。根据Neustar 2017年5月发布的全球DDoS攻击和网络洞察研究报告,在接受调查的1010个组织中,84%在过去12个月内遭受过至少一次严重的DDoS攻击,高于2016年的73%。86%的受调查组织报告在这段时间内发生了多起DDoS攻击。与2016年相比,2017年报告中使用超过50 Gbps数据的DDoS攻击数量增加了一倍。2018年的情况可能会更糟。现在,有新的DDoS攻击的消息。这种攻击方法旨在规避DDoS缓解措施,使其成为一种更隐蔽的方法来摧毁目标网络。UPnP DDoS攻击Imperva的安全研究人员发现了一种执行DDoS攻击的新方法。他们抓到了在野外使用它的网络攻击者,他们已经能够自己复制攻击。通用即插即用(UPnP)协议的目的是为了方便在使用UDP端口1900的网络上发现设备,然后可以使用TCP端口进行设备控制。UPnP经常在局域网中使用,这样路由器、打印机和客户机就可以互相发现并进行通信。如果实施得当,这可以使网络管理员的工作更轻松。不幸的是,UPnP有许多众所周知的漏洞。默认设置会使UPnP对外部网络攻击者开放,ddos攻击怎样防御,因为协议缺少身份验证机制。此外,还有许多UPnP特有的远程代码执行漏洞。通常,通过识别特定的源端口并阻止其流量,可以缓解DDoS攻击。但通过UPnP的设计方式,网络攻击者可以轻松地屏蔽他们正在利用的源端口。UPnP是通过将IP端口连接映射到本地IP端口服务来将Internet连接转发到LAN。路由器应该只允许内部端口连接通过UPnP,但是很少有路由器正确地验证它们是内部的。网络攻击者可以利用该漏洞将外部连接路由到目标LAN。如果攻击者能够毒害端口映射表,他们可以利用路由器作为代理。利用该漏洞来屏蔽其源端口,防御ddos的公司,网络攻击者可以继续执行放大DDoS攻击。典型的放大DDoS攻击使用放大攻击的端口的源端口。因此,通过阻止特定端口,通常可以减轻这些攻击。显然,这不适用于利用UPnP的放大DDoS攻击。实践中的UPnP-DDoS攻击Imperva缓解了可能是他们在2018年4月11日发现的第一次UPnP DDoS攻击。他们观察到了SSDP(简单服务发现协议)放大攻击。一些SSDP有效负载来自意外的源端口,高防盾cdn,而不是UDP端口1900。Imperva的研究人员对他们所看到的感到困惑。为了帮助发现到底发生了什么,他们最终创建了一个概念证明,使用UPnP来混淆DDoS放大攻击的源端口。尤里卡!创建概念证明的第一步是使用Shodan搜索引擎找到一个可利用的UPnP路由器。这些设备通常有一个"根描述.xml"文件,这就是查询搜索的方式。一旦他们发现了一个可利用的UPnP路由器,他们通过HTTP访问XML文件,改变文件的位置IP地址。下一步是编辑"根描述.xml"文件以修改端口转发规则。需要修改这些规则,以允许攻击者将外部IP连接路由到内部IP。这一步利用了大多数路由器无法正确验证所声明的内部ip实际上是内部的。哎呀!要为利用UPnP进行混淆的放大DDoS攻击做好准备,必须采取以下步骤:DNS请求已通过UDP端口1337发送到目标UPnP路由器。由于新的端口转发规则,请求通过目的端口udp53发送到DNS解析程序。解析程序通过源端口UDP 53响应设备。然后将源端口更改为UDP端口1337,目标UPnP路由器将DNS响应转发到请求源。有了所有这些,就可以执行放大DDoS攻击,而大多数DDoS缓解方法都无法阻止它。Imperva的概念证明中演示的相同方法可以用于NTP和SSDP攻击,而不是DNS。Memcached DDoS攻击也可以使用新的UPnP混淆方法。缓解这种攻击方法那么,这种新的DDoS攻击方法又该如何缓解呢?根据Imperva:"由于源IP和端口信息不再是可靠的过滤因素,最有可能的答案是执行深度数据包检查(DPI)以识别放大有效负载—这是一个资源更密集的过程,防御局域网ddos攻击,在不使用专用缓解设备的情况下,以内联速率执行此过程很有挑战性。"4月11日Imperva缓解的DDoS攻击是否真的利用UPnP进行端口混淆?"应该指出的是,我们还考虑了引发我们调查的攻击的其他假设。例如,可能是内部网络设置或有目的的转发配置导致了端口混淆。"但是Imperva研究人员在4月26日减轻的另一次DDoS放大攻击支持了他们最初的假设,正如他们的概念证明所证明的那样。4月26日的攻击是通过NTP放大载体执行的。一些有效负载来自一个源端口,而不是通常的UDP端口123。那次攻击的行为就像他们的概念证明一样,用DNS代替NTP。因此,如果网络攻击者更频繁地使用UPnP混淆来执行放大DDoS攻击,从而规避通常的DDoS缓解措施,那么更多的路由器将不得不实施深度包检测。它可能更需要资源,但随着DDoS攻击的发展,阿里云ddos防御安装,它可能是绝对必要的。