Akamai發出警告  發現三款全新DDoS反射攻擊矢量

十一月 4th, 2015 | Categories: Latest News
  • 威脅報告詳述由Akamai  DDoS緩解專家觀察到的三款全新DDoS反射攻擊
  • 攻擊者不斷發掘曝露於互聯網之中被濫用的UDP服務
  • 全新的DDoS攻擊濫用NetBIOS名稱伺服器、RPC傳輸埠及Sentinel授權伺服器,造成拒絕服務運作中斷

領先全球的內容傳送網絡(Content Delivery Network;CDN)服務供應商 Akamai Technologies, Inc.(NASDAQ交易代號:AKAM)今天發表最新的網絡安全威脅報告。Akamai在最近數月發現了三種全新的分佈式拒絕服務(DDoS)反射攻擊,分別由NetBIOS 名稱伺服器反射、RPC 傳輸埠映射及Sentinel反射所構成。報告中詳述了這些攻擊,包括其載荷分析,以及針對這些攻擊的Snort規則及加強系統防禦的最佳實踐守則。

DDoS反射是甚麼?

DDoS 反射攻擊也稱為DrDoS攻擊,其中涉及三種參與者:攻擊者、在不知情下參與攻擊的受害伺服器,以及攻擊目標。攻擊者向受害主機發出一個簡單的查詢,然後竄改這個查詢,令查詢看似來自攻擊目標;其後受害伺服器回應這個被捏造的地址,向攻擊目標發出有害的網絡流量。攻擊者選擇DDoS反射攻擊途徑,令受害伺服器回覆的流量遠大於攻擊者查詢的流量,藉此增大攻擊者的攻擊流量。攻擊者利用攻擊工具啟動自動化流程,高速向清單上的受害伺服器發出數百甚至數千個查詢,引發他們傳送出大量有害流量,導致攻擊目標因為拒絕服務而癱瘓。

Akamai保安業務部門高級副總裁兼總經理Stuart Scholly表示:「雖然DDoS反射攻擊十分普遍,但這三個攻擊矢量濫用了一些我們前所未見的不同服務,顯示出攻擊者不斷探索互聯網來找出可利用的新資源。似乎沒有一項UDP服務能夠完全脫離DdoS的攻擊,因此伺服器管理員必須關閉不必要的服務,以保護自己不致被利用作為惡意反射的幫兇。UDP向互聯網開放大量UDP服務,可用作發動DDoS攻擊,令人不寒而慄。」

這些全新反射攻擊的攻擊工具均互有關連,全部都是從相同的C程式碼修改而成。每個攻擊矢量均要求相同的基本清單,即是一段向受害反射伺服名單發出捏造要求的程式碼。他們的指令行選項均十分相似。

NetBIOS名稱伺服器DDoS反射攻擊

從2015年3月至7月,Akamai偶爾觀察到NetBIOS名稱伺服器DDoS反射攻擊(名為NBNS反射)。NetBIOS原本的主要用途是讓不同的電腦上的應用程式能夠互相溝通、建立環節以存取共享資源,以及在局域網(LAN)上互相找到對方。

這個攻擊會產生比初始查詢增大2.56 至 3.85倍的回覆流量。Akamai觀察到四種NetBIOS名稱伺服器DDoS反射攻擊,其中最大規模的攻擊達到15.7 Gbps。雖然合法和惡意的NetBIOS名稱伺服器查詢都十分普遍,但Akamai於2015年3月為其客戶緩解DDoS攻擊的過程中,首次偵測到相關的大量回覆流量。

RPC傳輸埠DDoS反射攻擊

Akamai於2015年8月在一次多矢量DDoS攻擊中,發現和緩解了第一宗RPC傳輸埠反射DDoS攻擊。RPC傳輸埠反射亦稱為RPC傳輸埠反射器,它的用途是告訴客戶端,如何呼叫特定版本的開放網路運算遠端程序呼叫(ONC RPC)服務。

最大的回覆產生了高達50.53倍的增幅,而較常見的增幅也多達9.65倍。在Akamai緩解了的四個RPC反射攻擊之中,其中一個超越了100Gbps,構成了極強勁的網絡攻擊。在2015年9月,Akamai差不多每日也觀察到針對不同目標的惡意反射要求。

Sentinel DDoS反射攻擊

首次Sentinel DDoS反射攻擊是於2015年6月在斯德哥爾摩大學被發現,是統計軟件套裝SPSS的授權伺服器的漏洞。其後Akamai在2015年9月緩解了兩宗Sentinel DDoS反射攻擊。攻擊源頭包括擁有高頻寬的強大伺服器,例如大學的伺服器。

這種攻擊的增幅達到42.94倍,但只發現到745個不同的攻擊流量來源。雖然有關的伺服器通過完善的網絡獲得了大量額外頻寬,但這類攻擊受制於反射器的數量。其中一個這類攻擊的頂峰流量達到了11.7Gbps。

DDoS緩解及加強系統防禦

對於上述全部三種攻擊矢量,均可以採用上游過濾來緩解DDoS,否則便要借助以雲端為基礎的DDoS緩解服務供應商。威脅報告提供了一個Snort緩解規則,能夠偵察由RPC傳輸埠映射攻擊工具所產生的惡意查詢。類似的規則也可用來偵測Sentinel服務。

Sholly表示:「就上述三種服務,管理人員應提出一個問題,就是這些服務應否向網上所有人開放。對於NetBIOS來說,答案很可能是『不應該』。對於另外兩種攻擊,答案或許是『應該』,那麼便要考慮如何保護它們。RPC 和Sentinel流量也可以經由入侵偵測系統來監察。」

關於Akamai

Akamai®是領先全球的內容傳送網絡(Content Delivery Network; CDN)服務供應商,譲客戶的互聯網速度快捷、可靠及安全。Akamai先進的網絡性能、流動表現、雲端保安及媒體傳送方案,不論在任何地方及任何裝置上均能提供最優質的消費者、企業及娛樂體驗方面,爲企業帶來革命性的改變。

Comments are closed.