端口映射:新的DDoS放大攻击

昨日,锤子发布会出现一些问题,据悉是其官网服务器遭遇了数十G流量DDoS攻击,这种大流量的DDoS攻击行为,恰恰印证了《2015 H1绿盟科技DDoS威胁报告》中的观点,大流量攻击呈现增长趋势。

DDoS大流量攻击威胁互联网安全

报告中指出2015上半年中发现的大流量攻击流量,其种类以UDP混合流量为主(72%)。报告还指出有两种客观的因素为大流量攻击创造了条件,1随着“宽带中国”战略实施方案的推进,城市和农村家庭宽带接入能力逐步达到20兆比特每秒(Mbps)和4Mbps,部分发达城市达到100Mbps,同时连接速度也在上升;2智能路由器等智能设备普遍存在安全性问题,它们常被利用成为放大攻击的源头,最高放大系数可达75。而从2014到2015 H1,这些问题并未得到好转。

新的DDoS放大攻击形式 端口映射

而今天Level 3 Threat Research Labs发现了一种新的DDoS放大攻击形式,放大系数最高可达28.4,这就是Portmapper。Portmapper(也称rpcbind、portmap或RPCPortmapper)是一种端口映射功能,常用于将内部网络中的服务端口发布到互联网。Portmapper可以视为一项RPC目录服务。当客户端寻求合适的服务时,可在Portmapper中查找。针对这些查询,Portmapper返回的响应大小不一,主要取决于主机上运行的是哪项RPC服务。
Portmapper可在TCP或UDP 111端口上运行。UDP端口就常常用来伪造的UDP请求,以便进行放大式攻击。正常情况下该响应包是比较小的,只有486字节,对比其查询请求(68字节),放大系数为7.1x。在广谱平台上,我们看到最高响应包高达1930字节,放大系数为28.4x。
我们统计了网络中前300名查询者的流量,并计算平均响应包大小。计算结果表明,平均响应包大小为1241字节(放大系数为18.3x)如果是DDoS攻击,我们发现,平均响应包大小为1348字节(放大系数为19.8x)显然,Portmapper作为DDoS攻击形式时,这些放大系数十分可怕。

端口映射放大式攻击增长迅猛

其他反射攻击方法在过去几周内表现平稳,而这个特殊的攻击向量却迅速增长。

与6月最后7天内的全局portmap流量相比,8月12日前7天的流量增长了22倍。显然,成功利用这种方法的攻击正在大肆增长。而与其他流行的UDP服务相比,Portmapper的全局流量仍然很小。

Portmapper的全局流量是如此之小,它几乎被标注在图表的底部红线位置。但要启动请求过滤并从互联网上移除反射主机,以预防更大规模的攻击和造成更多的损害,尚需时日。

 

建议防范UDP

Portmapper在互联网上成为反射型和放大型DDoS攻击的新形式。各机构或组织,如果需要在其环境中继续使用Portmapper提供端口映射服务,就需要对这些端口及流量展开清洗。但是Portmapper只是一种攻击形式,在许多的服务器上,还存在大量的RPC服务调用,它们也都使用UDP端口,这些服务也存在DDoS反射或放大攻击的可能。必要的情况下,可以考虑禁用这些RPC服务调用。在《2015 H1绿盟科技DDoS威胁报告》中,可以看到某大型互联网企业就深受UDP大流量攻击之痛。

所以我们建议,需要在开放的互联网上严格审查Portmapper、NFS、NIS以及所有其他RPC服务。在服务必须开启的情况下,配置防火墙决定哪些IP地址可以访问这些服务,之后只允许这些IP地址发送TCP请求,以避免这些IP地址在不知情的情况下参与DDoS攻击。

以上Portmapper的相关内容,引自Level 3 Threat Research Labs发布的研究成果。需要了解2015年DDoS威胁发展态势,请查询《2015 H1绿盟科技DDoS威胁报告》

【via@绿盟科技