盤點：常見UDP反射放大攻擊的類型與防禦措施

本文做者爲易盾實驗室工程師

1、DDoS攻擊簡介

分佈式拒絕服務攻擊（Distributed Denial of Service）簡稱DDoS，亦稱爲阻斷攻擊或洪水攻擊，是目前互聯網最多見的一種攻擊形式。DDoS攻擊一般經過來自大量受感染的計算機（即僵屍網絡）的流量，對目標網站或整個網絡進行帶寬或資源消耗，使目標沒法處理大量數據包，致使服務中斷或中止。

UDP是網絡通訊的標準協議，因爲UDP數據包是無連接狀態的服務，相對TCP而言，存在更少的錯誤檢查和驗證。攻擊者能夠更小代價的利用UDP 協議特性攻擊目標主機，使其沒法響應正確請求，甚至會致使線路擁塞。而UDP反射放大攻擊，更是近幾年最火熱，被利用最多的攻擊方式。成本之低，放大倍數之高，使各企業聞D色變。

2、UDP反射放大攻擊原理

不少協議在響應包處理時，要遠大於請求包，一個字節的請求十個字的響應，十個字節的請求一百個字的響應，這就是UDP反射放大攻擊最根本的原理。如下將Memcached服務做爲實例進一步介紹。

Memcached是一款開源的高性能分佈式內存對象緩存服務，經過緩存來下降對數據庫的訪問請求，加快應用程序的響應效率，能夠應用於各種緩存需求中。經過查詢緩存數據庫，直接返回訪問請求，下降對數據庫的訪問次數。

也正是這種服務機制，使攻擊者有了可乘之機，借用正常服務達到攻擊的目的。Memcached支持UDP協議的訪問請求，而且默認也會將UDP端口11211對外開放，所以攻擊者只須要經過快速的端口掃描，即可以收集到全球大量沒有限制的Memcached服務器，隨後攻擊者只須要向Memcached服務器的UDP:11211端口，發送僞造爲源IP的攻擊目標IP地址的特定指定請求數據包，服務器在收到該數據包後，會將返回數據發送至攻擊目標的IP地址。

黑客攻擊者若是利用惡意軟件的傳播，來控制大量僵屍網絡，再利用大量僵屍網絡做爲請求源，向Memcached服務器發起請求，並僞造數據包和攻擊目標IP，則該返回的數據包將成指數級上升，比原始請求數據包擴大幾百至幾萬倍，從而經過反射加放大的形式，使攻擊目標擁塞，沒法正常提供服務。以達到低成本化，高隱蔽性的攻擊手段。

3、常見UDP反射類型

除了常見的DNS，NTP等UDP反射放大攻擊類型，目前還有其餘十多種UDP協議，都可以用於反射放大攻擊，如：SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY 等。放大倍數從幾倍到幾萬倍，其中部分協議今天仍然很是流行。

此處整理了部分常見UDP反射放大協議，理論放大倍數和實際常見到的放大倍數做爲對比，看看誰的放大威力更強。

因而可知，這種以小博大，四兩撥千斤的效果使各企業異常頭疼的，部分協議的UDP反射放大倍數，已經超越了單純依靠技術能夠防禦的階段，還須要投入大量的物料資源給予支持。

4、常見防禦方式

針對此類強力的DDoS攻擊方式，有哪些實用又性價比超高的防禦手段？

因篇幅有限，下面來介紹比較好落地的防禦流程，和幾個簡單有效的算法措施，可根據業務狀況方便的開關增減，和閉環迭代，作到事前預防部署，事中策略對抗，過後分析總結。

通告類：關注各個設備和安全廠商，cncert發佈的最新安全通告，及時更新針對性防禦策略；

目標IP+源端口限速：能夠用於控制反射性攻擊，且能夠預防未知的反射協議；

源IP限速：單個請求源IP的總體控制；

目標IP限速：單個攻擊目標IP的總體可用性控制；

源IP+源端口限速：能夠下降部分大客戶源IP在訪問請求時的反作用影響；

目標IP+目標端口限速：適用於目標IP端口開發範圍較大時，可提升業務端口可用率，下降目標總體影響；

包文長度學習：經過對業務歷史包文數據的統計學習，能夠描繪出正常業務包大小的正態分佈圖，由此能夠清晰識別出構造的超大或超小包攻擊包文；

偏移字節數學習：檢查學習各個UDP包文中相同偏移未知所包含的相同內容，並將此內容提出做爲指紋特徵，根據此指紋特徵，能夠判斷UDP包文的丟棄或放行動做；

源端口波動限制：經過對業務正常的流量中，已知可被利用的UDP反射源端口進行統計，對源端口的數量執行監控，在這類源端口出現快速突增的波動時，將該源端口臨時封禁，待源端口數量恢復後則解除封禁，能夠大大下降攻擊形成的影響性；

服務白名單：對於已知的UDP反射協議，如DNS服務器的IP地址添加爲白名單，除此以外，其餘源IP的53端口請求包，所有封禁，也能夠大大減小反射可用點，使UDP反射放大攻擊的影響面下降；

地理位置過濾器：針對業務用戶的地理位置特性，在遇到UDP反射放大攻擊時，可優先從用戶量最少地理位置的源IP進行封禁阻斷，直到將異常地理位置的源IP請求所有封禁掉，使流量降至服務器可處理的範圍以內，或可有效減輕干擾流量，便於其餘算法進一步處理；

擴容帶寬服務器：加強帶寬和服務器的處理能力，增長業務流量和處理極限的可容忍波動範圍，能夠減輕在防禦過程當中形成的影響；

改進高可用架構：同上，能夠增長業務流量和處理極限的可容忍波動範圍，可增長分佈式節點，可用性自動調度等機制，以保障有節點中斷時快速切換到可用節點。

5、總結

UDP反射放大攻擊，是一種具備超大攻擊威力，且成本低廉，難以追蹤的DDoS攻擊方式。現在的DDoS黑產鏈已經至關的完善和成熟，各我的員的分工，資源獲取，集中管控，需求中介，簡易化操做工具，方便快速的發起攻擊，已經成爲黑產界最喜好的方式之一；

現在的DDoS攻擊愈來愈廣泛，天天都有各式各樣的攻擊不斷在各處上演，攻擊的流量也已經從G級別上升到T級別，一頓飯的價格，一支菸的時間，就能夠給企業形成難以估計的經濟損失和品牌受損。尤爲是遊戲類，金融類，電商類，都屬於DDoS攻擊的重災區，若是可以充分藉助大數據，人工智能技術，以及各大運營商，安全服務廠商的支持，和更有效的預警和防禦處置方案，將會爲企業的安全提供最有力的安全協同保障。