浅析各种DDoS攻打缩小技巧

之前我们曾报道过，此种攻打方式并非主流，以公然的论文看来后果堪比DNS，而NTP攻打则更胜一筹。

0×00 背景

攻打者能够应用BT种子协定(微传输协定[uTP]，分布hash平台[DHT]，消息流加密[MSE]，BT种子同步[BTSync])来反射缩小结点间传输量。

实验显示，攻打者能够应用BT结点将一个包缩小50倍，假如是BTsync将达到120倍。另外，我们发明最流行的BT流客户端正是最脆弱的，比如uTorrent、Mainline、Vuze等。

公然DNS剖析和NTP协定MONLIST下令攻打，两种攻打方式依靠其协定的广泛应用，影响范畴不言而喻。

混合缩小，应用通用协定的攻打方式很稳定，通过标准的结点发明机制很快找到缩小点。由于其应用的动态端口范畴和握手加密，攻打不会被常规防火墙发明，只有进行深度的包检查才能发明。

0×01 什么是DRDoS攻打

攻打者不把通讯包直接发给受害者，而是发给缩小器(amplifiers)然后反射给受害者。攻打者应用了收集协定漏洞进行IP诈骗。能够由一个或多个攻打结点开端，下图简单勾画出了DRDoS的攻打模型：

1、P点在攻打前确认缩小器的位置，这取决于攻打者应用的协定，强大的扫描工具比如 ZMap能够帮助确认可用缩小器。这步是以后步调的基础，保证以后的攻打效力;

2、接着发送小的Ba 给缩小器PA，攻打者捏造包源地点是PV的IP地点，然后PA反应一个大的包Bv给PV。

BT流是今天天下最常用的P2P协定，协定的新颖之处在于处理了free riding problem 和 last piece problem 。为了克服第一个困难，BT流应用了一个奖赏机制称为窒息算法导致了tit-for-tat-ish 分享方式。BT流通过稀有片优先算法处理了第二个成绩。

0×02 UTP协定攻打

最初，TCP是握手和节点通讯的默许协定。TCP在P2P环境有良多优点，它分布了可用带宽给每个衔接点，通常得到比其他应用更多的带宽。因此，BT流在后台运转，会被前段的通讯结束(比方web 和邮件)，以是BT流发明了新的传输协定UTP。

UTP采用了TCP的一些想法，以滑动窗口控制流，按顺序校验信息的完整性，握手树立衔接。差别于TCP三次握手，UTP只有两次握手，下图表现结点树立衔接的过程。能够看出创立方发出一个ST_SYN包给接受方创立衔接，类似于TCP的SYN包。接受方反应ST_STATE包表现成功接受到，树立方接受到反应表现双向树立成功。现今大多数的BT客户端把UTP作为默许协定。

UTP树立衔接的两次握手，这容许攻打者用捏造的IP地点和缩小器树立衔接，由于接受方不检查创立方是否接受到了应答。

示意图如下：

一个捏造的带着受害者IP地点的ST_DATA给接受方，接受方相信包中的源IP地点有效，反应了第一个ST_DATA给受害者，而受害者的IP没有意料到这个包，以是也不会回应它。接受方到时间重传丢失的ST_DATA包，假如连续四次传输未响应则断开衔接。

衔接树立后BT流须要一次握手作为第一条信息，包含了为扩大保留的字节、hash信息和节点ID。假如客户端接受了握手发明使用了未认证的hash，客户端立刻终结衔接。攻打者应用握手包基于UTP两次握手创立缩小攻打。

ab两步不赘述了，c步调 攻打者发送了一个装载了BT流握手信息的ST_DATA包。 这个握手须要活跃的缩小器种子hash信息(20字节)，握手包最少88字节，假如缩小器参与这个种子中，就会反应步调d ，d的握手包大于攻打者发送的，由于客户端在UTP包里放入了更多信息。

BT流提供Libtorrent 的扩大协定(LTEP)添加新的扩大而不妨碍默许协定。假如一个攻打者标记支持LTEP 尤其在BEP10中 ，攻打后果会进一步缩小而不用增加步调c握手包的量。对等节点以此扩大信息交流。

0×03 应用数据流加密握手包(MSE)攻打

MSE的目的是混淆BT传输过程，防止受ISP的影响，而不是为了传输安全。尽管它有良多严重的弱点，但它还是被大多数BT客户端使用。

这个协定开端于Diffie-Hellman 密钥的交流 每个节点都发生了768位的公钥 公钥包含0-512位的随机数r 。交流密钥后，包会被RC4算法加密，UTP传输。

这种方式使攻打者不必明确hash信息，发送一个捏造的MSE包(包含768位的公钥没有随机数)，客户端随即会反应随机数和公钥。

结果证明MSE攻打会显著提升效力。进一步说，加密装载Ba和MSE生成的包Bv，熵高的属性，使其难以被ISP或者DPI防火墙发明并封锁。

0×04 深入DNS缩小DDoS攻打

DNS反射攻打也能轻易达到千兆的级别。

最初的缩小攻打是著名的SMURF攻打，发送ICMP恳求给路由收集广播地点，配置发送ICMP给路由下的设备。攻打者诈骗ICMP恳求源是受害者的IP，由于ICMP不包含握手，以是目的无从确认源IP是否合法。攻打者缩小攻打的后果取决于路由下有多少设备。 不过SMURF攻打是过去的事了，收集管理员曾经配置它们的路由器不将ICMP恳求发给收集广播地点。

好的缩小攻打方式有两个条件：

1、协定没有握手，容许IP源地点捏造(比方ICMP，UDP)

2、对查问的回复要大于查问本身

DNS是核心，无处不在的收集平台就是缩小攻打的资源。

DNS基于UDP传输，因此它们的源地点能够捏造并且接受者回应前无从确定真实性。DNS也能够生成更大的反应，输入 dig ANY www.baidu.com @x.x.x.x(x.x.x.x是公然DNS剖析器)，这是一个64字节的查问会前往3223字节，攻打后果缩小了50倍。讽刺的是，huge DNSSEC 密钥 ——这个被用来增加DNS系统安全性的协定反而成了缩小攻打的帮凶。

公然DNS剖析器是互联网的悲剧。

假如你用一个DNS剖析器确保只前往可信用户的查问，比方你公司的IP空间是10.10.10.0/24 DNS剖析器就只前往这个范畴IP的查问，而不会回应6.6.6.6的查问信息。

成绩就在于许多人运转DNS剖析器而不在乎哪个IP地点的人查问。这样的成绩曾经存在10年之久，发生的变乱表明良多差别的僵尸收集为了发明DNS剖析器开端枚举互联网IP空间，一旦发明就可应用于DNS缩小攻打。中国台湾拥有天下第二多的公然DNS剖析器资源。

有这样一个网址能够查问你的DNS https://openresolverproject.org/

天下上有2170万个公然DNS剖析器，网站正致力于关闭它们。

处理办法

把recurison设置为no

容许在特定的地点查问，options { allow-query{192.168.1.0/24;};};

0×05 NTP 缩小DDoS攻打 400Gbps的技术细节

2014年2月出现一次400Gbps规模的NTP攻打，这类攻打越来越走俏，这次变乱能够作为一个好的例子来说明一下这种攻打方式。

首先了解一下基础的结构，NTP缩小攻打开端于一个被黑客控制的服务器容许IP诈骗，攻打者生成了良多UDP包诈骗源IP地点使来自特定目的的包出现，这些UDP包发送到支持MONLIST下令的收集时间协定服务器port123。

顺便聊一聊MONLIST下令

它的用处在于前往一个NTP服务器上600个IP地点的列表，以是它能够拿来干坏事。假如一个NTP服务器完全迁移它的表，反应的信息将被缩小206倍。此类攻打中IP地点捏造，UDP不须要握手，实践上有200倍的缩小后果。

然而这不仅仅是实践，此次攻打变乱中，为了400Gbps的攻打后果攻打者应用了运转在1298个差别收集上的4529台NTP服务器。平均每台NTP服务器发生87Mbps的通讯量。值得注意的是攻打者很可能只用了一个能IP诈骗的收集服务器就做成了此次攻打。

NTP服务器支持MONLIST和公然DNS剖析器不一样，虽然它们都趋向于多收集衔接的服务器。对比而言，NTP 攻打更加的效力，2013年曾有一次几乎玩坏互联网的DDoS攻打被纽约时报报道，应用30956公然DNS剖析器，目的Spamhaus发生300Gbps的通讯量。NTP攻打只用了1/7的服务器，实现的攻打后果还比Spamhaus变乱多1/3。

处理办法：禁止MONLIST下令

黑客攻打的前提是IP地点诈骗，假如你在管理收集，确保遵守BCP38。能够用这个来自MIT的工具检测一下https://spoofer.cmand.org/summary.php

最后假如你觉得NTP不好，那就等待下一个SNMP，但是SNMP实践上有650倍的缩小后果，曾经看到有黑客跃跃欲试了，Buckle up。

参考资料

https://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet/

https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/

https://www.usenix.org/system/files/conference/woot15/woot15-paper-adamsky.pdf

【编辑推荐】

转载自:https://netsecurity.51cto.com/art/201508/489480.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明：转自《浅析各种DDoS攻打缩小技巧》
本文地址：https://www.zhiletu.com/archives-4492.html
关注公众号：