百度智云盾团队在2021年1月首次捕获到利用Plex(媒体播放平台)的 *** 服务发起的DDoS反射攻击。据现有资料表明,这种反射攻击方式尚属全网首次出现,智云盾系统在2秒内识别攻击,实时对流量做了隔离和清洗,保障用户免遭DDoS的伤害。
本次攻击事件中黑客利用了基于Plex服务发起的DDoS反射攻击,Plex是一套媒体播放平台,基于UDP协议提供服务,由于UDP协议的不可靠性质,导致开启该服务的主机容易被黑客利用作为反射源进行DDoS反射攻击。
攻击者采用反射方式实施DDoS攻击时,不是直接攻击受害者IP,而是伪造了大量受害者IP的请求发给相应的开放服务,通常这类开放服务不对源进行校验而是立即完成响应,这样更大更多的响应数据包发送到受害者IP,从而实现了流量的反射,这类开放服务就是反射源。
原理如下图所示:
图1 反射攻击原理示意图
图1中攻击者P伪造了请求包BA并发送到PA,但BA的源IP是PV,所以PA响应的时候发送BV给到PV。
反射攻击一方面隐藏了攻击IP,同时还有一个重要特征是放大,上述原理图中的BV往往是BA的好几倍,甚至是成千上万倍。正是有了这样的特性,黑客组织乐此不疲的使用这一攻击方式,并不断的研究新型反射攻击增强攻击效果。
智云盾系统检测到攻击时,自动对攻击流量进行采样,安全专家对采样包及时进行了深层次的分析和演练。本次攻击事件共涉及反射源2451个。
通过分析智云盾的攻击采样包发现,反射流量的端口来自于32414端口,下图红色箭头指向的是反射源端口:
图2 采样包内攻击来源端口图
采样包中udp携带的攻击载荷如下图所示:
图3 攻击载荷
数据包中的攻击载荷固定包含plex/media-server,通过搜索分析,这是一套媒体播放平台的服务器软件。攻击载荷如下图所示:
图4 格式化后的攻击载荷
为了进一步分析,我们在一台纯净的ubuntu16.04上安装了Plex服务,安装完成后查看服务绑定的端口号,如下图所示:
图5
可以看到Plex服务监听32410、32412、32413和32414四个udp端口,通过对攻击载荷的分析,并借鉴设备查询请求的消息格式,我们编写软件向这几个端口发送攻击载荷为M-SEARCH * HTTP/1.1的udp数据包,并针对反射源IP进行抓包,最后发现32410与32414均有响应。复现攻击如下图所示:
图6 反射源的响应
图7 抓包结果
我们在模拟攻击请求的验证中,发出一个载荷长度为20字节,获取到的响应包载荷为258字节。
按照我们前期对反射倍数的研究结果,科学的统计放大倍数,应当包括数据包协议头和 *** 帧间隙。详细的方案可以参阅《MEMCACHED DRDoS攻击趋势》一文。
协议头和 *** 帧间隙计算为:14(以太头)+20(IP头)+8(UDP头)+4(FCS头)+20(帧间隙)=66字节,所以计算实际响应的数据包大小为258+66=324字节,请求包大小为20+66=86字节。
最终我们计算得到的放大倍数为324/86=3.77倍。
对比udpflood可以伪造大数据包攻击,3.77倍的放大攻击实际能达到的效果并不理想,攻击者之所以热衷于此类探索,一方面是反射攻击是个『技术活』,另一方面他们还有一个倍数『更大』的计算 *** ,业内也比较流行,就是只计算请求响应的载荷比。这里的Plex反射则可以达到258/20=12.9倍,放大倍数一下就超过了10倍。
Plex是一套全面的影音媒体播放平台,包括一整套媒体播放器及服务器软件,个人用户可以利用这个平台整理电脑、NAS、XBOX等设备上的电影、音乐、电视和图片文件,并可以方便的在朋友间分享。Plex服务向个人用户免费开放,支持大多数平台,随着家庭影音的普及,相信未来部署Plex服务系统或设备会越来越多。
我们在shodan、zoomeye等全网扫描数据库中查询32410、32414等端口获取到的IP数据非常少,说明当前Plex服务受关注度还比较低。
受限于其他原因,我们没有对Plex服务进行全网扫描。
对参与此次攻击的反射源进行了调查分析,其中被利用的反射源主要来源于海外。下图是IP分布情况:
图8 反射源IP分布
通过分析攻击包载荷中的name字段(主机标识)可以发现,主机标识大多数不重复,且未使用默认的主机标识,多数为个人用户配置使用。下图展示了此次攻击的反射源主机信息:
图9 反射源的主机信息
反射攻击与传统的flood攻击相比,能更好的隐藏攻击者,并且产生的流量更大,因而反射攻击越来越受到黑客青睐。
建议参考以下方式提升防护能力。
对互联网服务应避免被滥用,充当黑客攻击的帮凶
禁用UDP服务,不能禁用时,应确保响应与请求不要有倍数关系
启用的UDP服务应采取授权认证,对未授权请求不予响应
对企业用户应做好防范,减少DDoS对自有 *** 和业务的影响
如果没有UDP相关业务,可以在上层交换机或者本机防火墙过滤UDP包
寻求运营商提供UDP黑洞的IP网段做对外网站服务
选择接入DDoS云防安全服务对抗大规模的DDoS攻击
迅速访问 “南京兼职商务接待模特经纪人微信号码”。有关大伙儿之前探讨的南京市高档商务企业信息,文中为大伙儿作出了小结,许多 小结全是网编从事十余年的制造行业工作经验,因此 大家一起来讨论一下有关南京市...
上海小学妹在线预约女经纪人微信号【钱启芬】 今天给大家分享的内容是“上海小学妹在线预约女经纪人微信号【钱启芬】”,我是钱启芬,来自廊坊市,今年27岁,作为职业:普通服务行业,我热爱我的职业:普通服务行...
SEO推广是由网站优化网络运营媒体宣传结合的一种技术,而现在恰好就是媒体最为流行,真因为如此很多的站长之知道利用自媒体推广网站,结果推广了几年网站权重只有2到3而已,导致和谐问题的关键就是没有结合...
1)体系:/.fseventsd'3、 惯例扫描仅需30秒;1.4.1 根据梯度的进犯1 PoisonTap将会监听到一切HTTP恳求和呼应,并将这些内容发送到PoisonTap的web服务端(Nod...
因为肺炎疫情的缘故,全国各地都延迟开学,在家里处起了网上课程,小孩在上网课时,一开始的情况下还不非常好,时间长了毫无疑问不行,那麼延迟开学在家里的我是什么情况呢?下边我产生详细介绍。 延迟开学在家里...
S近期我在做一个商城网站,曾经与一个商城网站的SEO总监有过一些交流,凭借自己与他的关系,看到了他们商城网站的SEO优化方案,他们的方案在当时是非常出色的,并且网站处于权重6的状态,虽然如今的SEO有...