網(wǎng)絡(luò)安全知多少 | 看不見的“海嘯”：一文讀懂反射放大攻擊及其防護

你是否想過，網(wǎng)絡(luò)世界也存在“四兩撥千斤”的攻擊？攻擊者只需發(fā)出一個小小的請求，就能讓目標(biāo)網(wǎng)站或服務(wù)器瞬間被巨量流量吞沒而癱瘓。這就是今天我們要聊的——反射放大攻擊，一種高效且隱蔽的DDoS攻擊方式。

反射放大攻擊是一種利用第三方服務(wù)器作為中轉(zhuǎn)，向目標(biāo)發(fā)起大規(guī)模DDoS（分布式拒絕服務(wù)）攻擊的方式。攻擊者通過向偽裝的源IP地址（目標(biāo)IP）發(fā)起請求，誘使反射服務(wù)器返回大量響應(yīng)，從而達到“放大”攻擊容量的效果。

1. 反射器：開放且未做安全限制的公共服務(wù)器。

2. IP欺騙：偽造源IP地址，讓服務(wù)器誤以為請求來自受害者。

3. 放大效應(yīng)：回復(fù)數(shù)據(jù)包遠大于請求數(shù)據(jù)包，產(chǎn)生流量杠桿。

攻擊者會尋找那些“問得少，答得多”的協(xié)議。以下是一些常見的反射攻擊類型：

1.NTP反射攻擊：

■ 協(xié)議：網(wǎng)絡(luò)時間協(xié)議，用于同步時間。

■ 利用命令：monlist，該命令會返回最近與該服務(wù)器同步過時間的客戶端IP列表。

■ 放大倍數(shù)：可達556倍，非�？植馈�

2.Memcached反射攻擊：

■ 協(xié)議：內(nèi)存緩存系統(tǒng)，用于加速動態(tài)Web應(yīng)用。

■ 特點：由于Memcached設(shè)計簡單，無認證，且可能返回極大數(shù)據(jù)，使其成為“核彈級”反射器。

■ 放大倍數(shù)：理論上可達上萬倍，是已知放大倍數(shù)最高的攻擊。

3.SSDP反射攻擊：

■ 協(xié)議：簡單服務(wù)發(fā)現(xiàn)協(xié)議，讓UPnP設(shè)備（如智能家電、路由器）能相互發(fā)現(xiàn)。

■ 利用方式：搜索請求會觸發(fā)設(shè)備返回其描述信息。

■ 放大倍數(shù)：約30倍，但設(shè)備數(shù)量龐大，易于利用。

4.DNS反射攻擊：

■ 協(xié)議：域名系統(tǒng)，將域名轉(zhuǎn)換為IP地址。

■ 利用方式：發(fā)送一個查詢所有記錄的請求到開放的DNS解析器。

■ 放大倍數(shù)：約28-54倍，是最古老、最經(jīng)典的反射攻擊。

5.CLDAP反射攻擊：

■ 協(xié)議：無連接輕量級目錄訪問協(xié)議，用于查詢目錄服務(wù)。

■ 特點：近年來興起，利用其查詢響應(yīng)機制。

■ 放大倍數(shù)：約56-70倍，威力不容小覷。

除了以上五種，還有哪些？反射攻擊的“武器庫”還在不斷擴充，例如：

● SNMP反射攻擊：簡單網(wǎng)絡(luò)管理協(xié)議，用于管理網(wǎng)絡(luò)設(shè)備。

● Chargen反射攻擊：字符生成協(xié)議，一個古老的測試協(xié)議。

● RPC反射攻擊：遠程過程調(diào)用。

● QUIC協(xié)議反射攻擊：一種新的傳輸層協(xié)議，也可能被濫用。

● 高隱蔽性：攻擊流量來自全球大量合法的公共服務(wù)器，而非攻擊者自己的設(shè)備，難以溯源。

● 高效率：“放大效應(yīng)”使得攻擊者能以極小的成本（低帶寬）發(fā)動巨大的流量攻擊。

● 低成本：利用公共資源，攻擊者無需控制大量“肉雞”（僵尸網(wǎng)絡(luò)）。

● 依賴第三方：攻擊成功與否取決于互聯(lián)網(wǎng)上是否存在足夠多開放的反射器。

● 單向流量：攻擊者無法直接與受害者建立連接，通常只用于純粹的流量壓垮，而非數(shù)據(jù)竊取。

防護需要從個人/企業(yè)和全球互聯(lián)網(wǎng)社區(qū)兩個層面共同努力。

1. 對于網(wǎng)絡(luò)運營者/企業(yè)：

● 部署專業(yè)DDoS防護服務(wù)：使用高防IP、云清洗服務(wù)等。在攻擊流量到達你的服務(wù)器之前，由防護中心進行識別和過濾。

● 配置網(wǎng)絡(luò)基礎(chǔ)設(shè)施：在邊界路由器上設(shè)置ACL，丟棄來自已知反射器端口（如NTP的123端口、Memcached的11211端口）的無關(guān)流量。

● 啟用BCP38：在網(wǎng)絡(luò)出口配置入口過濾，防止內(nèi)部用戶進行IP欺騙，從源頭杜絕成為攻擊跳板的可能。

2. 對于服務(wù)器運營者（杜絕成為“幫兇”）：

● 加固公共服務(wù)：對NTP、DNS、Memcached等服務(wù)器進行安全配置，限制訪問來源，關(guān)閉不必要的功能（如NTP的monlist）。

● 最小化開放原則：非必要的公共服務(wù)不應(yīng)暴露在公網(wǎng)上，或僅對特定IP開放。

部署防護措施后，如何驗證其有效性？以下使用信而泰DarPeng2000E測試儀表對于反射放大攻擊進行測試驗證：

測試步驟和拓撲如下所示：

1. 測試儀表發(fā)送1Gbps的應(yīng)用層混合流量作為背景流量，流量類型包括HTTP、FTP、DNS、NTP、SMTP、SIP、RTSP、SSH以及少量與攻擊流量相同協(xié)議類型的正常業(yè)務(wù)流量。背景流量的源/目的地址盡量分散。

2.檢測設(shè)備配置對反射放大攻擊的閾值和檢測策略；清洗設(shè)備配置相應(yīng)的防范策略，記錄上述閾值和策略配置情況。

3.測試儀表發(fā)送1Gbps的混合攻擊報文，攻擊類型包括：NTP反射攻擊、Memcached反射攻擊、SSDP反射攻擊、CLDAP反射攻擊、DNS反射攻擊。攻擊和背景流量的源地址不重疊，攻擊的目的地址為背景流量部分目的IP，攻擊發(fā)送持續(xù)時間10分鐘。

4.查看清洗設(shè)備狀態(tài)，背景流量轉(zhuǎn)發(fā)正常無丟包，不會被牽引到清洗設(shè)備，反攻擊流量全部被牽引到清洗設(shè)備：

5.儀表攻擊統(tǒng)計可觀察到攻擊流量全部被攔截：

信而泰推出的DarPeng2000E測試儀是一款支持真實的應(yīng)用層流量仿真，其HTTP/TCP的新建連接數(shù)可達數(shù)百萬、并發(fā)連接可達億級別；同時可以仿真真實的攻擊流量、惡意流量、病毒流量。支持仿真多種反射放大攻擊，可以為網(wǎng)絡(luò)安全提供強有力的測試手段。

信而泰最新一代DarPeng3000E儀表即將推出，各項主要指標(biāo)對比DarPeng2000E提升一倍。

結(jié)語：

反射放大攻擊是互聯(lián)網(wǎng)生態(tài)中一朵危險的“惡之花”，它利用了網(wǎng)絡(luò)的開放性與信任。作為網(wǎng)絡(luò)公民，我們既有責(zé)任保護自己的業(yè)務(wù)不受侵害，也有義務(wù)管理好自己的設(shè)備，不讓他人成為攻擊的“跳板”。唯有提高安全意識，采取切實的防護措施，才能在這場看不見的攻防戰(zhàn)中立于不敗之地。