防cc攻击_阿里云防ddos_无限-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > 防cc攻击_阿里云防ddos_无限

防cc攻击_阿里云防ddos_无限

小墨安全管家 2021-11-08 08:13 DDOS防御 89 ℃
DDoS防御
SummarySSDP(简单服务发觉协议)-通常称为通用即插即用(UPnP)–允许设备经过网络服务发觉(搜索)或网络服务广播(Notify)来发觉其邻居。 继今年早些时候创纪录的DNS和NTP攻击之后,由于在路由器和NAS等流行设备中发觉的漏洞,这种无处不在的协议已成为黑客利用的又一受害者。本文包括1)分析SSDP DDoS攻击的性质,并与放大反射攻击家族中的其他攻击举行比较;2)我们从SSDP DDoS攻击样本中收集的一些统计数据;3)对于SSDP缓解的建议。 非常谢谢安全团体提供SSDP DDoS攻击的样本,并谢谢他们在分析这些攻击方面的巨大关心。 反射攻击家族回忆了2014年DDoS攻击趋势,放大反射攻击(rDDoS)不断打破新记录,估计到年底将突破1 Tbps(1Tbps=1000 Gbps)。攻击者很清晰用于发起攻击的总带宽,所以很关注这种反射式攻击的效率和匿名性。所以,它们总是以最大化每个请求中的反射因子为目标,并且阻碍尽也很多的易受攻击的公共IP。 这一概念类似于信息安全治理系统(ISMS)中的风险水平计算:ALE=ARO X系统年化预期损失(ALE)=年发生率(ARO)X单一预期损失(SLE) 在rDDoS术语中,它变成:总攻击功率=易受攻击的公共服务器数量x反射比。 依照最新研究,虽然SSDP的平均带宽反射比(30x)不如NTP或DNS[ns]大,但它的平均包反射比相当可观,几乎是请求的10倍。实际上,一具欺骗请求将导致10个来自易受攻击设备的不需要的SSDP响应。 那个地点有一具更害怕的场景:rapid7在2013年举行的一项研究表明,2.2%的公共IP(即8100万个)易受SSDP DDoS攻击,这远远超过可用的名称服务器或NTP服务器。 [来源:放大地狱:克里斯蒂安·罗索(Christian Rossow)针对DDoS滥用重新审视网络协议[2014]]依照shadowserver的最新状态,仍有1800万个易受攻击的SSDP主机在线。下面是全球的整体地图。这显然是一具全球性的威胁,阻碍到数百万无辜的中间受害者。 [来源:shadowserver.org网站] [来源:shadowserver.org网站] [来源:shadowserver.org网站] SSDP协议SSDP不是被设计成一具因特网路由协议,句号。其实,它永久不大概成为标准。ITEF编制的互联网草案于2000年4月到期。后来,它成为UPnP(通用即插即用)的一部分。官方定义如下:简单服务发觉协议。一种多播发觉和搜索机制,使用UDP上HTTP的多播变体。 发觉第1章:发觉中的协议规范指出"为了限制网络拥塞,每个多播消息的每个IP包的生存时刻(TTL)应默以为2,同时应该是可配置的。当TTL大于1时,多播消息有大概穿越多个路由器。"允许TTL大于1的多播数据包扩大了发觉范围,但增加了风险。该标准规定,它应该指定一具多播地址,例如239.255.255.250(链路本地作用域)或ff0X::c,但经过单播地址的M搜索也在第1.3章中被答应。"操纵点还能够将单播搜索消息发送到已知的IP地址和端口1900或SEARCHPORT.UPNP.ORG,以验证IP地址上是否存在UPnP设备和服务。" [UPnP广告、搜索和响应图,来源:UPnP规范1.1]来源:回应 响应经过单播成批发送。第一具数据包用它的根id发送,DDoS防御,依照提供的服务发送额外的数据包。普通来讲,在传统的NAS或家庭路由器上能够找到大约10个。因为它是经过UDP的,于是发送方没有确认它可以接收所有响应。这不是一具"条件响应",防DDoS,假如在发送第一具包时没有收到确认,SSDP将停止发送其余的响应。 广告就我个人而言,CC防御,我以为SSP的广告功能更实用,因为网络中的客户端懂有新设备被添加到网络中或从网络中删除。 [UPnP功能支持自动设备发觉和添加/删除通知]来源: M-Search是怎么被滥用的因为M-Search能够经过单播来完成,CC防御,扫描一具在适当的防火墙配置和适当的路由器ACL下的网络没有任何作用。 可是,有多少用户真正意识到了诸如NAS、媒体播放器、电视或家庭路由器等设备中的UPnP(使用SSDP协议)功能?我相信那个数字特别低。此外,一些路由器软件的设计并没有思量到安全性:连接到Internet的WAN端口有时试图经过SSDP或公共SSDP M-Search查询来宣传其网络服务。 虐待家庭用户的一具关键优势是缺乏安全意识;最后来用户不懂他们的24×7路由器或NAS可用于参与全球下一次SSDP DDoS攻击活动。有了脚够多的易受攻击的网络设备列表,攻击者就能够轻松地举行分发和负载平衡,从而发起几乎不被发觉的攻击。 生成SSDP DDoS攻击很简单。其实,无恶意攻击只需要一行代码;POC足本的大小仅为4KB。 以下是单个SSDP DDoS攻击的一些快照:一具122字节的M-SEARCH数据包接收到12个响应包,总计3719个字节。包数是12倍,字节数是30倍!一具M-search请求有12个包响应[来源:Nexusguard]这是另一张图表,展示了SSDP DDoS攻击的放大能力,每秒有100个M-Search请求(单位,字节):红色表示来自客户。绿色表示启用SSDP的设备上的响应。 可视化的M-search请求和响应包大小[来源:Nexusguard] M-search请求(红色)和回复(蓝色)[来源:Nexusguard] SSDP DDoS攻击检测和缓解与其他放大反射式攻击类似,检测和缓解比其他直截了当攻击(如SYN flood或GET flood)更容易。如今的咨询题是要有脚够的带宽来接收放大的流量。这在所有反射式攻击中特别常见:易于检测和缓解,纯粹是一场权力博弈-谁更强大,谁能抵挡得住。 下面是直截了当攻击和反身攻击之间区别的一具简单的可视化攻击。正常直截了当DDoS攻击要紧来自随机源端口,而反射攻击则来自一具或几个固定端口(多个端口可并且发起多种反射攻击)。源端口随机性的缺乏大概导致容易实现的检测和缓解过滤器。 [来源:HITCON2014–利用随机性] 建议针对所有类型的放大反射攻击(包括SSDP DDoS攻击)的通用解决方案是:BCP38入口过滤器:尽大概靠近源举行过滤,以落低IP欺骗滥用的风险;这应该特别容易实现执行.修补程序易受攻击的设备:供应商应负责永远或创建默认事情下安全的解决方案。[来源:思科无线路由器配置指南。?docid=21dd2d0087d14547927032d7f94ce0d9\U UPnP U配置U RV120W_Router.xml&pid=2&converted=0]问DDoS解决方案专家:在线企业主应随时预备应对看不见的威胁,或尽早执行安全评估,以确定适合其特定业务需求的DDoS解决方案。

防cc攻击_阿里云防ddos_无限


DDoS防御

当前位置:主页 > DDOS防御 > 防cc攻击_阿里云防ddos_无限

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119