本期回顧，我們只聊一個事情——UDP反射攻擊。這個事情在上周被Akamai/Prolexic炒了一把，說黑客盯上SNMP協(xié)議了，用來發(fā)起UDP反射攻擊。借此扯點閑篇，還是蠻有意思的。

[[113576]]

SNMP及其UDP反射放大的兄弟們

UDP Flood應(yīng)該是一種比較討厭的DDoS攻擊，現(xiàn)在來說，比較可行的防護手段不是太多，恐怕限流是最常見的防護方式了。UDP Flood比較難以防護的主要原因是UDP自身的通信方式?jīng)Q定的，不維持狀態(tài)使得類似cooikie、驗證碼等反向探測手段難以實施。

去年曾經(jīng)發(fā)生過300G DDoS的攻擊事件。當時被打的目標是Spamhaus，而提供防護的CloudFlare也一起“屁滾尿流”，最終在全球多個Tier-1一級運營商的一起努力下才最終化解。打出300G DDoS的就是依靠DNS反射放大攻擊，基于UDP。經(jīng)過DNS解析服務(wù)器放大后，反射出來的數(shù)據(jù)包被放大了很多倍。據(jù)稱，當時的300G流量是由近31000臺DNS服務(wù)器打出來的。下圖是發(fā)起300G DDoS攻擊的最大嫌疑犯CyberBunker公司的老板，他后來被捕入獄。

[[113577]]

其實Just so so了，和最近一起據(jù)稱近400G的DDoS攻擊相比，差遠了。400G的DDoS是通過NTP服務(wù)器進行的反射放大。沒錯，也是基于UDP的Flood，也是經(jīng)過反射放大，最終達到近400G的天量。和31000臺DNS服務(wù)器相比，推到400G的攻擊流量只用到了約4500臺NTP服務(wù)器。

4500臺NTP服務(wù)器 =400G UDP Flood是什么概念? 我們計算一下，一個NTP request經(jīng)過MONLIST放大后，差不多反射出來的流量是request數(shù)據(jù)包的206倍。也就是說，1G的NTP request就可以反射200G的攻擊流量。顯然比DNS效率高多了。

下圖是參與400G攻擊的NTP服務(wù)器所在運營商的列表：

注：上圖筆者給一些運營商打了碼，為什么打碼，自己去猜。

在上周，Akamai/Prolexic又開始炒SNMP Flood。哦，yes，SNMP為什么不可能呢?都是UDP Flood的兄弟嘛。讓人稍感欣慰的是，SNMP Flood不象DNS和NTP反射威脅那么嚴重，還好還好。

下圖是國外某廠商捕獲的SNMP實際攻擊數(shù)據(jù)。

上圖是某系統(tǒng)遭到真實SNMP Flood攻擊的實際數(shù)據(jù)。為了安全，實際的IP地址以192.0.2.1來替代。

我們可以看出，117.27.239.158是倒霉蛋，也就是被反的對象。如果getBulkRequest的數(shù)據(jù)包以87字節(jié)來計算，設(shè)備反射的SNMP response約為60kB，放大了多少大家自己可以計算一下。

眾所周知，getBulkRequest是SNMP v2版本新增的。因此，普遍認為SNMP 反射放大攻擊是基于SNMP v2的。SNMP v2存在某些安全隱患，這也是推出SNMP v3的一個重要原因。

我們翻回頭再來說上面那個“某系統(tǒng)”是什么系統(tǒng)。這個系統(tǒng)是IOT系統(tǒng)，也就是物聯(lián)網(wǎng)系統(tǒng)。具體來說，是一個視頻會議系統(tǒng)。該會議系統(tǒng)是開放的(widely open)。資料沒有查到，個人猜測，可能是這個系統(tǒng)沒有對SNMP訪問的IP進行限制，才導(dǎo)致被利用發(fā)起發(fā)射的結(jié)果。

這是一個非常有趣的事情。一個物聯(lián)網(wǎng)系統(tǒng)被別人利用發(fā)起DDoS攻擊，更為有趣的是，這個被利用的物聯(lián)網(wǎng)系統(tǒng)根本就沒有必要開放SNMP服務(wù)。

[[113578]]

俗話說，no zuo no die，放在這里再合適不過。當然，最終倒霉的是117.27.239.158。話說回來，IOT系統(tǒng)被利用打DDoS，肯定不是這個系統(tǒng)設(shè)計的初衷。資源浪費，弄不好還會被溯源投訴。

最后，送上一點福利：反射攻擊的歷史。下面的內(nèi)容從網(wǎng)上采集，供大家參考，可能拿來給客戶講故事。但是是否準確，不能保證：

- SYN/ACK floods始于90年代中期。

- Smurf attack出現(xiàn)于90年底。之后隨著路由器將“no ip unreachables”作為缺省配置而消失。

- DNS 反射/放大攻擊始于2000或2001年，2004年底，2005年出開始流行。

- SNMP 反射/放大攻擊在2006 - 2007出現(xiàn)。

- NTP反射/放大攻擊在2008 - 2009出現(xiàn)。

- CHARGEN反射/放大攻擊在2009 - 2010出現(xiàn)。同一時期，TFTP反射/放大攻擊也浮出水面。

總是，都不是新鮮玩意兒。但是，防不住還是防不住。