NETSCOUT Arbor分布式拒绝服务DDoS攻击

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

NETSCOUT Arbor报告可能会滥用简单服务发现协议(SSDP)来启动一种新型的分布式拒绝服务(DDoS)攻击,其中设备使用非标准端口进行响应。

NETSCOUT Arbor分布式拒绝服务DDoS攻击

这种称为SSDP衍射的技术会产生具有短暂源端口和目标端口的UDP数据包。这使得缓解更加困难,因为数据包内容需要检查以过滤大量的SSDP回复和非初始片段。

NETSCOUT Arbor说,问题是大量CPE(客户提供的设备)设备使用开源库libupnp。更重要的是,攻击者似乎意识到上述行为,“可能会根据他们攻击的效力选择这些行为不端的受害者”。

通过互联网可达到的大约500万个SSDP服务器中的大多数将从短暂的源端口响应,并且通过使用这种短暂端口的SSDP衍射攻击能够击败简单的端口过滤缓解,DDoS保护面临问题,研究人员在报告中建议PDF)。

SSDP是为通过本地网络进行服务发现而设计的,它在端口1900上使用基于UDP(也称为HTTPU)的基于文本的HTTP消息。它将对多播地址作为源地址或目的地址的数据包作出响应(仅适用于本地网络)和单播地址(通过互联网路由)。

基于SSDP的反射/放大攻击几年前开始流行,但缓解很简单,因为攻击数据包源自特定源端口并包含HTTPU响应,同时还具有来自最初欺骗请求的短暂目标端口。

“几乎所有SSDP的使用都发生在本地网络上,大多数大型组织都不依赖于关键任务应用的协议,因此在危机期间通常可以在网络边界对具有UDP / 1900源端口的数据包进行过滤,” NETSCOUT Arbor解释说。

然而,DDoS防护公司还观察到利用SSDP衍射能够绕过缓解措施的攻击:他们将使用高编号的端口作为源和目的地,而不仅仅依赖于UDP / 1900源端口HTTPU数据包。

研究人员说:“很显然,攻击者或者攻击工具的作者都知道正常攻击和衍射攻击的效果不同。”

研究人员在扫描互联网寻找SSDP设备后,发现其中一半以上将使用1900以外的源端口进行UDP数据包响应。

中国成为最响应设备的国家,它们都表现出(响应1900年的源端口)和行为不端(响应其他源端口)。俄罗斯,越南,韩国和委内瑞拉也是不良设备的主要来源。

进一步的调查显示libupnp(适用于UPnP设备的可移植SDK)可能会对不良行为负责:它不仅会创建“新的响应套接字,导致新的临时端口”,而且默认使用唯一的Server HTTPU标头和X-User-Agent:redsonic HTTPU标头,这两者似乎都代表这些行为不当的设备。

“攻击总是会逐渐演变出足够的躲避防御。在这种情况下,我们发现了一个有效的新的转折,它是一种古老的,易于理解的攻击类型。这一启示提醒我们,防御者必须时刻注意不断变化的攻击手段,并像攻击者一样适应。这次特定的攻击突出了我们再次看到的两种趋势:旧代码包含新消费品中重复使用的错误,并随后暴露这些脆弱人群,“NETSCOUT Arbor总结说。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: