Akamai 針對三種新型反射式 DDoS 攻擊媒介發出警告
【2015年 11月 2 日,台北】內容遞送網路 (content delivery network;CDN) 服務的全球領導廠商 Akamai Technologies, Inc. (NASDAQ:AKAM) 發表全新網路安全威脅建議書。Akamai 在近幾個月內已觀測到三種新型反射分散式阻斷服務 (Distributed Denial of Service;DDoS) 攻擊。建議書完整說明由 NetBIOS 名稱伺服器反射、RPC portmap 反射與 Sentinel 反射所導致的 DDoS 威脅,包含有效負載 (payload) 分析、網路入侵檢測(Snort) 規則與系統強化的最佳實務。該建議書可從www.stateoftheinternet.com/3-ddos-reflection下載。
何謂反射式 DDoS 攻擊?
反射式 DDoS 攻擊亦稱為 DrDoS 攻擊,其中牽涉三個參與者:攻擊者、不知情的幫兇 (被攻擊者的伺服器) 與攻擊目標。攻擊者會向攻擊目標的主機傳送一個簡單的要求,但是攻擊者會竄改 (假造) 該要求,讓其看起來像是由攻擊目標所發出,接著被攻擊者的伺服器會對假造的位址做出反應,將非必要的網路流量送往攻擊目標。攻擊者會挑選做出極大反應的受害者伺服器來發動反射式 DDoS 攻擊,如此便可放大攻擊力。攻擊者會運用攻擊工具的自動化程序,以高頻率向大量的受害目標送出成千上百個要求,藉此讓受害的伺服器發出洪水般無用的流量,導致目標因此阻斷服務。
Akamai 資訊安全事業單位資深副總裁兼總經理 Stuart Scholly 表示:「雖然反射式 DDoS 攻擊很常見,但這三種攻擊媒介對多種不同服務的濫用是前所未見的,這顯示出攻擊者持續地刺探整個網際網路,以便發現可利用的新資源。看起來沒有一個 UDP 服務逃得過 DDoS 攻擊者濫用的命運,因此伺服器管理員必須要關閉不必要的服務,或保護他們不受惡意反射攻擊者的利用。網際網路上遭到反射式 DDoS 攻擊利用而開啟的 UDP 服務數量多得驚人。」
新型反射式攻擊的攻擊工具之間互有關聯,都是源自相同 C 代碼的不同修改版本。每個攻擊媒介需要的基本條件亦都相同:一組向大量受害反射器發送假造申請的指令碼,其命令行的選項都很類似。
NetBIOS 名稱伺服器反射式 DDoS 攻擊
NetBIOS 反射式 DDoS 攻擊特指 NetBIOS 名稱服務 (NetBIOS Name Service;NBNS) 反射。Akamai 發現在 2015 年 3 月至 7 月間有零星的此類攻擊事件發生。NetBIOS 的主要目的是讓不同電腦上的應用程式可以互相傳遞訊息、建立溝通管道以使用共享資源,並在區域網路中找到彼此。
這種攻擊讓目標從伺服器所接收的反應流量,會是攻擊者原先發送的要求流量的2.56到3.85倍。依據Akamai所觀測到的四個 NetBIOS 名稱伺服器反射式攻擊,最大值的流量紀錄為 15.7 Gbps。雖然合法跟惡意的 NetBIOS 名稱伺服器要求很普遍,但直到 2015 年 3 月,當Akamai為客戶緩解 DDoS 攻擊時,回應式洪水攻擊才首次被偵測到。
RPC portmap 反射式 DDoS 攻擊
Akamai 第一次觀測到並進行緩解的 RPC portmap 反射式 DDoS 攻擊發生在 2015 年 8 月的多媒介 DDoS 攻擊活動中。RPC portmap 亦稱為 port mapper,會教導用戶端該如何開啟開放網路運算遠端程序呼叫 (Open Network Computing Remote Procedure Call;ONC RPC) 服務的特定版本。
這種攻擊的特點在於其最大反應流量的放大係數為50.53,一般較常見的放大係數則為 9.65。Akamai 緩解的四個 RPC 反射式攻擊活動中,有一個流量超過 100 Gbps,是十分強大的攻擊。在2015 年 9 月,Akamai 幾乎每天都觀測到針對不同目標的主動式惡意反射請求。
Sentinel 反射式 DDoS 攻擊
2015 年 6 月,斯德哥爾摩大學觀測到第一個 Sentinel 反射式 DDoS 攻擊,並判定為 SPSS 統計軟體套件授權伺服器上的漏洞。Akamai 於 2015 年 9 月緩解了兩個 Sentinel 反射式 DDoS 攻擊活動,攻擊來源包含可使用高頻寬的強大伺服器,例如大學伺服器。
此次攻擊的放大係數為 42.94,但只識別出 745 個獨立的攻擊流量來源。即使網路連線良好的伺服器能提供額外的頻寬,此類攻擊仍受限於可用反射器的數量。有一次攻擊的高峰流量達 11.7 Gbps。
DDoS 緩解與系統強化
以這三種攻擊媒介來說,上游篩選或許是DDoS 緩解的可行方案,否則就需要雲端型 DDoS 緩解服務供應商的幫助。威脅建議書提供一個網路入侵檢測 (Snort) 的緩解規則,可偵測出由 RPC portmap 攻擊工具所產生的惡意要求。類似的規則也可用來偵測 Sentinel 服務。
Sholly 表示:「對於這三種服務,管理員應該要思考這些服務是否需要對網際網路上的所有人開放。以 NetBIOS 而言,可能沒有開放的必要,但另外兩種可能就有需要,而問題就該轉而考量保護的方式。RPC 和 Sentinel 的流量可利用侵入式偵測系統來監控。」
要瞭解有關反射式 DDoS 威脅與 DDoS 緩減技術,請至www.stateoftheinternet.com/3-ddos-reflection免費下載威脅建議書。