又一種DDoS攻擊，服務器管理員需要做更多工作。

2012年，網絡罪犯們想出了如何濫用DNS來進行大規模DDoS反射攻擊，我們可以將其理解為利用非常少的輸入創造大量流量。2013年，他們轉而利用網絡時間協議(Network Time Protocol，NTP)和簡單網絡管理協議(Simple Network Management Protocol，SNMP)，其次不久則使用了簡單服務發現協議(Simple Service Discovery Protocol，SSDP)。

[[147411]]

發現規律了沒?DDoS攻擊涌入那些配置失當的服務器，情景十分壯觀，也讓人擔憂。管理員趕忙修復漏洞，但網絡犯罪分子每次都會從某個新的協議或服務上發現可趁之機，讓過程重演。

DDoS攻擊防御公司現在會定期警告所有使用普遍、但很少被管理員考慮到的協議。如今又出現了另一個不起眼的服務，Portmapper，它現在也加入了被濫用的列表中。

發生了什么?美國主力通訊運營商Level 3注意到某種新型的DDoS攻擊，它會濫用Portmapper(也即RPCbind)服務。這種攻擊已經存在了一段時間，但其數量最近則有戲劇性的增加。

數量高峰出現的時間：6月下旬到8月中旬。

RCS(遠程控制系統，Remote Control System) Portmapper是什么?基本可以將其理解為經典的Unix目錄服務，可以讓如PC等平臺上運行的程序對其它位置的計算機發起遠程過程調用(Remote Procedure Call，RPC)。它已經存在好幾年了。

攻擊者做什么?他們偽造指向DDoS目標的地址，將UDP包發送給公共Portmapper服務。Portmapper會幫助攻擊者返回一個大得多的響應。如果有足夠多的查詢服務器，其管理人員也沒有意識到，那么這次攻擊就將被放大，壓倒攻擊目標。

濫用有多么容易?Portmapper應當是內部局域網使用的服務，不應該從外部訪問到。顯然很多服務器都遺留了這一漏洞。

是不是很嚴重?允許外部方接觸到Portmapper不是好事，可能會讓服務器在不經意間被用于DDoS攻擊第三方。

檢測到了多少攻擊流量?和其它被濫用協議進行比較，很少。但Level 3公司希望人們在局勢惡化前注意到它。如果不提醒，這類威脅通常會被忽略。

有補丁嗎?并不存在特定的軟件漏洞：Portmapper服務只是完成了其原本的設計功能。解決方案是禁止該服務，或者阻止對該服務的外部訪問。

其它被濫用的協議：DNS、NTP、Chargen、Netbios、SNMP、SSDP。

Levels3的話：“為了避免你的組織在未來成為DDoS攻擊的幫兇，我們建議在開放互聯網上禁用Portmapper和NFS、NIS以及所有其它RPC服務，這是最優方案。在必須保證開啟服務的情況下，應該對所有能接觸到服務的IP地址開啟防火墻，隨后切換到TCP-only。”