本文作者爲易盾實驗室工程師
一、DDoS攻擊簡介
分佈式拒絕服務攻擊(Distributed Denial of Service)簡稱DDoS,亦稱爲阻斷攻擊或洪水攻擊,是目前互聯網最常見的一種攻擊形式。DDoS攻擊通常通過來自大量受感染的計算機(即殭屍網絡)的流量,對目標網站或整個網絡進行帶寬或資源消耗,使目標無法處理大量數據包,導致服務中斷或停止。
UDP是網絡通信的標準協議,由於UDP數據包是無鏈接狀態的服務,相對TCP而言,存在更少的錯誤檢查和驗證。攻擊者可以更小代價的利用UDP 協議特性攻擊目標主機,使其無法響應正確請求,甚至會導致線路擁塞。而UDP反射放大攻擊,更是近幾年最火熱,被利用最多的攻擊方式。成本之低,放大倍數之高,使各企業聞D色變。
二、UDP反射放大攻擊原理
很多協議在響應包處理時,要遠大於請求包,一個字節的請求十個字的響應,十個字節的請求一百個字的響應,這就是UDP反射放大攻擊最根本的原理。以下將Memcached服務作爲實例進一步介紹。
Memcached是一款開源的高性能分佈式內存對象緩存服務,通過緩存來降低對數據庫的訪問請求,加快應用程序的響應效率,可以應用於各類緩存需求中。通過查詢緩存數據庫,直接返回訪問請求,降低對數據庫的訪問次數。
也正是這種服務機制,使攻擊者有了可乘之機,借用正常服務達到攻擊的目的。Memcached支持UDP協議的訪問請求,並且默認也會將UDP端口11211對外開放,因此攻擊者只需要通過快速的端口掃描,便可以收集到全球大量沒有限制的Memcached服務器,隨後攻擊者只需要向Memcached服務器的UDP:11211端口,發送僞造爲源IP的攻擊目標IP地址的特定指定請求數據包,服務器在收到該數據包後,會將返回數據發送至攻擊目標的IP地址。
黑客攻擊者如果利用惡意軟件的傳播,來控制大量殭屍網絡,再利用大量殭屍網絡作爲請求源,向Memcached服務器發起請求,並僞造數據包和攻擊目標IP,則該返回的數據包將成指數級上升,比原始請求數據包擴大幾百至幾萬倍,從而通過反射加放大的形式,使攻擊目標擁塞,無法正常提供服務。以達到低成本化,高隱蔽性的攻擊手段。
三、常見UDP反射類型
除了常見的DNS,NTP等UDP反射放大攻擊類型,目前還有其他十多種UDP協議,均可以用於反射放大攻擊,如:SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY 等。放大倍數從幾倍到幾萬倍,其中部分協議今天仍然非常流行。
此處整理了部分常見UDP反射放大協議,理論放大倍數和實際常見到的放大倍數作爲對比,看看誰的放大威力更強。
由此可見,這種以小博大,四兩撥千斤的效果使各企業異常頭疼的,部分協議的UDP反射放大倍數,已經超越了單純依靠技術可以防護的階段,還需要投入大量的物料資源給予支持。
四、常見防護方式
針對此類強力的DDoS攻擊方式,有哪些實用又性價比超高的防護手段?
因篇幅有限,下面來介紹比較好落地的防護流程,和幾個簡單有效的算法措施,可根據業務情況方便的開關增減,和閉環迭代,做到事前預防部署,事中策略對抗,事後分析總結。
通告類:關注各個設備和安全廠商,cncert發佈的最新安全通告,及時更新針對性防護策略;
目標IP+源端口限速:可以用於控制反射性攻擊,且可以預防未知的反射協議;
源IP限速:單個請求源IP的整體控制;
目標IP限速:單個攻擊目標IP的整體可用性控制;
源IP+源端口限速:可以降低部分大客戶源IP在訪問請求時的副作用影響;
目標IP+目標端口限速:適用於目標IP端口開發範圍較大時,可提高業務端口可用率,降低目標整體影響;
包文長度學習:通過對業務歷史包文數據的統計學習,可以描繪出正常業務包大小的正態分佈圖,由此可以清晰識別出構造的超大或超小包攻擊包文;
偏移字節數學習:檢查學習各個UDP包文中相同偏移未知所包含的相同內容,並將此內容提出作爲指紋特徵,根據此指紋特徵,可以判斷UDP包文的丟棄或放行動作;
源端口波動限制:通過對業務正常的流量中,已知可被利用的UDP反射源端口進行統計,對源端口的數量執行監控,在這類源端口出現快速突增的波動時,將該源端口臨時封禁,待源端口數量恢復後則解除封禁,可以大大降低攻擊造成的影響性;
服務白名單:對於已知的UDP反射協議,如DNS服務器的IP地址添加爲白名單,除此之外,其他源IP的53端口請求包,全部封禁,也可以大大減少反射可用點,使UDP反射放大攻擊的影響面降低;
地理位置過濾器:針對業務用戶的地理位置特性,在遇到UDP反射放大攻擊時,可優先從用戶量最少地理位置的源IP進行封禁阻斷,直到將異常地理位置的源IP請求全部封禁掉,使流量降至服務器可處理的範圍之內,或可有效減輕干擾流量,便於其他算法進一步處理;
擴容帶寬服務器:增強帶寬和服務器的處理能力,增加業務流量和處理極限的可容忍波動範圍,可以減輕在防護過程中造成的影響;
改進高可用架構:同上,可以增加業務流量和處理極限的可容忍波動範圍,可增加分佈式節點,可用性自動調度等機制,以保障有節點中斷時快速切換到可用節點。
五、總結
UDP反射放大攻擊,是一種具有超大攻擊威力,且成本低廉,難以追蹤的DDoS攻擊方式。如今的DDoS黑產鏈已經相當的完善和成熟,各個人員的分工,資源獲取,集中管控,需求中介,簡易化操作工具,方便快速的發起攻擊,已經成爲黑產界最喜愛的方式之一;
如今的DDoS攻擊越來越普遍,每天都有各式各樣的攻擊不斷在各處上演,攻擊的流量也已經從G級別上升到T級別,一頓飯的價格,一支菸的時間,就可以給企業造成難以估計的經濟損失和品牌受損。尤其是遊戲類,金融類,電商類,都屬於DDoS攻擊的重災區,如果能夠充分藉助大數據,人工智能技術,以及各大運營商,安全服務廠商的支持,和更有效的預警和防護處置方案,將會爲企業的安全提供最有力的安全協同保障。