九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

应对UDP反射放大攻击的五种常用防护思绪

2020-08-10

本月，美国联邦视察局（FBI）发出忠言，称发明几种新的网络协议被不法分子用来发动大规模的漫衍式拒绝服务（DDoS）攻击。忠言包括三种网络协媾和一款Web应用程序。其中CoAP（受约束的应用协议）、WS-DD（Web服务动态发明）和ARMS（Apple远程治理服务）这三种网络协议已有媒体报道，发明了在现实网络情形中的滥用情形。

FBI 的官员体现，这些新型DDoS攻击途径已经是迫在眉睫的真实威胁。由于他们对相关装备的须要性，厂商难以通过禁用实现攻击的阻止。而这无疑给打造大规模僵尸网络，发动极具破损性的 DDoS 攻击提供了便当。

找到有用清静手段的条件，是对攻击的充分相识。以下是九游老哥科技对这四种新型 DDoS 攻击途径的解读，以及焦点的防护思绪分享。

CoAP：约束应用协议（Constrained Application Protocol）

CoAP是一种轻量级的机械对机械(M2M)协议，可以在内存和盘算资源稀缺的智能装备上运行。简朴来说，CoAP与HTTP很是类似。但它不是事情在TCP包，而是在UDP上。就像HTTP用于在客户端和服务器之间传输数据和下令（GET，POST，CONNECT等）一样，CoAP也允许相同的多播和下令传输功效，但不需要那么多的资源，这使它成为物联网装备的理想选择。然而，就像其它基于UDP的协议，CoAP天生就容易受到IP地点诱骗和数据包放大的影响，这也是它容易被DDoS攻击滥用的主要缘故原由。

WS-DD：Web服务动态发明（Web Services Dynamic Discovery）

WS-DD是一种局域网内的服务发明多播协议。但经常由于装备厂商的设计不当，当一个正常的IP地点发送服务发明报文时，装备也会对其举行回应。若是装备被袒露在互联网上，即可被攻击者用于DDoS反射攻击。WSD协议所对应的端口号是3702。目今，视频监控装备的ONVIF规范以及一些打印机，都开放或在正在使用WS-DD服务。着实早在2019年，九游老哥科技格物实验室就对WS-DD可被用于反射攻击做出了剖析。

http://blog.nsfocus.net/ws-discovery-reflection-attack-analysis/

ARMS：远程治理服务（Apple Remote Management Service）

2019年，已有不法分子使用Apple远程治理服务（ARMS）即Apple远程桌面（ARD）功效的一部分，实验了DDoS放大攻击。ARD启用后，ARMS服务最先在端口3283上侦听传输到远程Apple装备的入站下令，攻击者进而可以发动放大倍数为35.5的DDoS放大攻击。此误差的泉源在于ARMS自身服务的设计缺陷。在使用UDP传输协议的情形下，客户端向netAssistant服务端口（即3283端口）发送一个UDP最小包，netAssistant服务便会返回携带有主机标识的超大包，请求与响应相差数十倍。由于其并未严酷限制请求与响应比，导致袒露在公网中开启netAssistant服务的网络装备均有可能被看成反射源使用。

Jenkins：基于 Web 的自动化软件

Jenkins是一个开源的、可扩展的一连集成、交付、安排（软件/代码的编译、打包、安排）的基于Web的平台。Jenkins是一个执行自动化使命的开源服务器。使用Jenkins的误差（如CVE-2020-2100），可以用来发动 DDoS 攻击。只管Jenkins v2.219中已经修复了这个误差，可是许多Jenkin服务器仍然会受到影响。

现实上，除了FBI 提及的这四种新型 DDoS 攻击途径，我们还应关注更多可用于反射放大攻击，事情在UDP 的协议。如SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY 等。 8f337bf6ecb26782294b6c59512eaaf

UDP反射放大攻击是近几年最火热，被使用最多的DDoS攻击方法之一。UDP数据包是无链接状态的服务，攻击者可以小价钱的使用UDP 协议特征攻击目的主机，使其无法响应准确请求，以实现拒绝服务。

那么，我们应该怎样应对UDP反射放大攻击？本文给出以下5种常用的防护思绪：

1. 指纹学习算法：学习检查UDP报文中的Payload，自动提取攻击指纹特征，基于攻击特征自动举行扬弃或者限速等行动。

2. 流量波动抑制算法：产品通过对正常的营业流量举行学习建模，当某类异常流量泛起快速突增的波动时，自动判断哪些是异常从而举行限速/封禁，以阻止对正常流量造成影响。

3. 基于IP和端口的限速：通过对源IP、源端口、目的IP、目的端口的多种搭配组合举行限速控制，实现无邪有用的防护战略。

4. 服务白名单：关于已知的UDP反射协议，如DNS服务器的IP地点添加为白名单，除此之外，其他源IP的53端口请求包，所有封禁，使UDP反射放大攻击的影响面降低。

5. 地理位置过滤器：针对营业用户的地理位置特征，在遇到UDP反射攻击时，优先从用户量最少地理位置的源IP举行封禁阻断，直到将异常地理位置的源IP请谴责部封禁，使流量降至服务器可处置惩罚的规模之内，可有用减轻滋扰流量。

<<上一篇

九游老哥威胁情报专栏 | 海莲花（APT32）组织使用新的攻击手艺，NTI已支持相关检测

>>下一篇

倒计时3天NSFOCUS CLUB 2020清静手艺岑岭论坛暨相助同伴峰会即将启幕

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号