2016黑帽大会:更多DDoS DNS放大攻击利用SSDP而非NTP

摘要

在2016年黑帽大会展示的新研究表明,攻击者正在改变DDoS DNS放大攻击战略,还发现那些试图发动DDoS攻击的攻击者遭遇新的欺诈性服务。

Anchorage办事处FBI特别探员Elliott Peterson和恶意软件及勒索软件威胁数据提供商Malware Patrol联合创始人Andre Correa自2014年11月开始在全球各地设置多个蜜罐,以收集DDoS攻击数据,包括时间戳、来源和目的IP地址、攻击的端口以及攻击类型。截至到2016年,这些蜜罐已经收集超过800万条记录。

根据这些数据显示,网络时间协议(NTP)服务器使用的端口port 123已经不再是DDoS DNS放大攻击使用最多的UDP端口。Peterson认为这种改变可能是因为此前研究发现NTF是放大攻击中的重要工具很多NTP服务器得到修复。

Peterson表示NTP服务器是DDoS攻击的流行向量,因为它们提供了非常高的放大速度,一个数据包发送到NTP服务器可换来500个,这种放大速度仍然是最高的速率。然而,Peterson称攻击者已经开始瞄准提供只有30:1回报的放大技术。

这导致简单服务发现协议(SSDP)和port 1900成为最被滥用的UDP端口,其放大系数是31:1。对放大率的关注决定着攻击者使用的工具类型。

调查发现booters和stressers是非常流行的工具,它们为没有足够技术能力自己发动攻击的攻击者提供了快捷方便的攻击途径。Correa称这些服务租赁费用低至每月5到20美元,很多还提供Paypal或其他Web服务的简易支付。

Peterson称booters和stressers通常有非常短的生存时间,让它们很少持续超过几个月。他表示持续时间最长的服务通常自己提供前端,位于企业DDoS保护背后,因为booters和stressers本身是DDoS攻击的主要目标。

Peterson称:“它们经常会互相攻击对方的服务,以证明自己是更好的服务,然后我们会看到他们在网上吹嘘这些活动。”

Peterson指出更高的放大系数和DDoS规模经常会占据头条新闻,但并不代表攻击趋势。

“僵尸网络可被用于那些运行较长时间的攻击,更强大的攻击,”Peterson说道,“如果你看到大量短期运行的攻击,这很可能是引导服务。我们还没有真正看到超过30千兆每秒的攻击。”

Peterson承认他们如果研究“高端市场”可能会看到更多40到50 Gbps范围的攻击,但也表示高度公开的大型DDoS攻击可能没有人们想象的那么普遍。

“虽然我们确实看到200到300 Gbps的攻击,我们的合作伙伴也看到这种规模的攻击,但这种规模其实没有人们想象的那么普遍,”Peterson称,“但我认为在如何测量攻击规模以及测量是否准确方面还存在很多问题。”

Peterson称,攻击者通常没有道德可讲。他们的调查发现很多欺诈性booter服务在收钱后并没有按要求发动DDoS DNS放大攻击。正因为如此,现在所谓的“交钥匙式DDoS即服务”开始崛起,这种服务更昂贵,但提供“卓越的客户服务”。

Peterson称目前企业可通过多种不同的方法来缓解DDoS攻击,包括部署DDoS传感器。

“传感器的做法是,你实际可用看到攻击的运行。这些传感器非常有价值,通常传感器可接受阈值约为20个分布式DDoS传感器,这可让你获得80%或90%的可视性,”Peterson说,“我们认为你应该查看社交媒体,我们认为你应该关注正在发生什么,员工是否在玩游戏等,这都可能会出现问题。你可能会因为服务器配置错误而不经意参与到DDoS中。”

在2016年黑帽大会展示的新研究表明,攻击者正在改变DDoS DNS放大攻击战略,还发现那些试图发动DDoS攻击的攻击者遭遇新的欺诈性服务。

Anchorage办事处FBI特别探员Elliott Peterson和恶意软件及勒索软件威胁数据提供商Malware Patrol联合创始人Andre Correa自2014年11月开始在全球各地设置多个蜜罐,以收集DDoS攻击数据,包括时间戳、来源和目的IP地址、攻击的端口以及攻击类型。截至到2016年,这些蜜罐已经收集超过800万条记录。

根据这些数据显示,网络时间协议(NTP)服务器使用的端口port 123已经不再是DDoS DNS放大攻击使用最多的UDP端口。Peterson认为这种改变可能是因为此前研究发现NTF是放大攻击中的重要工具很多NTP服务器得到修复。

Peterson表示NTP服务器是DDoS攻击的流行向量,因为它们提供了非常高的放大速度,一个数据包发送到NTP服务器可换来500个,这种放大速度仍然是最高的速率。然而,Peterson称攻击者已经开始瞄准提供只有30:1回报的放大技术。

这导致简单服务发现协议(SSDP)和port 1900成为最被滥用的UDP端口,其放大系数是31:1。对放大率的关注决定着攻击者使用的工具类型。

调查发现booters和stressers是非常流行的工具,它们为没有足够技术能力自己发动攻击的攻击者提供了快捷方便的攻击途径。Correa称这些服务租赁费用低至每月5到20美元,很多还提供Paypal或其他Web服务的简易支付。

Peterson称booters和stressers通常有非常短的生存时间,让它们很少持续超过几个月。他表示持续时间最长的服务通常自己提供前端,位于企业DDoS保护背后,因为booters和stressers本身是DDoS攻击的主要目标。

Peterson称:“它们经常会互相攻击对方的服务,以证明自己是更好的服务,然后我们会看到他们在网上吹嘘这些活动。”

Peterson指出更高的放大系数和DDoS规模经常会占据头条新闻,但并不代表攻击趋势。

“僵尸网络可被用于那些运行较长时间的攻击,更强大的攻击,”Peterson说道,“如果你看到大量短期运行的攻击,这很可能是引导服务。我们还没有真正看到超过30千兆每秒的攻击。”

Peterson承认他们如果研究“高端市场”可能会看到更多40到50 Gbps范围的攻击,但也表示高度公开的大型DDoS攻击可能没有人们想象的那么普遍。

“虽然我们确实看到200到300 Gbps的攻击,我们的合作伙伴也看到这种规模的攻击,但这种规模其实没有人们想象的那么普遍,”Peterson称,“但我认为在如何测量攻击规模以及测量是否准确方面还存在很多问题。”

Peterson称,攻击者通常没有道德可讲。他们的调查发现很多欺诈性booter服务在收钱后并没有按要求发动DDoS DNS放大攻击。正因为如此,现在所谓的“交钥匙式DDoS即服务”开始崛起,这种服务更昂贵,但提供“卓越的客户服务”。

Peterson称目前企业可通过多种不同的方法来缓解DDoS攻击,包括部署DDoS传感器。

“传感器的做法是,你实际可用看到攻击的运行。这些传感器非常有价值,通常传感器可接受阈值约为20个分布式DDoS传感器,这可让你获得80%或90%的可视性,”Peterson说,“我们认为你应该查看社交媒体,我们认为你应该关注正在发生什么,员工是否在玩游戏等,这都可能会出现问题。你可能会因为服务器配置错误而不经意参与到DDoS中。”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: