楼主此时说这些,给人感觉装逼令人反感,试问很多的正义之声被封杀,你的公正在哪里?智安 *** 讯:据外媒 15 日报道, *** 安全解决方案提供商 Imperva 披露攻击者正在利用 UPnP 协议掩盖 DDoS 攻击期间发送的 *** 数据包源端口,从而绕过 DDoS 缓解服务。Imperva 已发现了至少两起采用该技术的 DDoS 攻击, 包括 DDoS 放大攻击。
UPnP如何利用?
问题的来源在于通用即插即用(UPnP)协议,这个协议原本的目的是简化在本地 *** 上发现附近设备的过程。它能够将互联网连接转发到本地 *** ,把连接映射到本地。
此功能能够被用来穿透NAT, *** 管理员也可以远程访问内网里的服务。
“但是,很少有路由器真的会确认内网IP,因此路由器会执行所有的转发规则,”Imperva的研究人员说。
这意味着如果攻击者设法污染端口映射表,他可以使用路由器作为 *** ,并且把IP重定向。
实际上利用UPnP进行攻击并不新鲜。Akamai就曾介绍过这种攻击,并把它称为UPnProxy。
UPnProxy能做什么?
Imperva表示,这项技术也可能被滥用于DDoS攻击以屏蔽放大(amplification)DDoS攻击的源端口,即反射DDoS攻击。
DDoS放大攻击需要由攻击者发送数据包并通过欺骗性IP将其发送给受害者。
在传统的DDoS放大攻击中,源端口指向的始终是放大攻击服务的端口。例如,DNS放大攻击时从DNS服务器反弹的数据包的源端口号为53,而NTP放大攻击的源端口号为123。
基于这个原理,那些抗DDoS的服务可以屏蔽指定源端口来阻止DDoS攻击。
但是如果黑客使用了UPnProxy,就可以修改端口映射表,可以把端口映射为随机,从而绕过DDoS防御服务。
后果:DDoS 放大攻击或泛滥
Imperva 公司表示已开发一款自有 PoC 脚本并已测试成功,而且复现了在实际中发现的两起 DDoS 攻击中的一种。
他们开发的 PoC 查找暴露 rootDesc.xml 文件(该文件持有端口映射配置文件)的路由器,添加隐藏源端口的自定义端口映射规则,随后发动 DDoS 放大攻击。
DDoS 放大攻击主要步骤如下:
之一步:找到一个开放的UPnP路由器
第二步:访问设备XML文件
第三步:修改端口转发规则
第四步:启动端口混淆 DNS 放大
通过2018年5月16日与14日的 SHODAN 搜索情况对比显示,暴露 rootDesc.xml 文件的路由器数量仍在增加。
而出于安全的原因,该公司并未发布该 PoC 代码。
建议大家如果没有使用的需要就把路由器的UPnP功能关闭。
云联防:全网分布式联动防御
业务快速接入云联防系统,轻松抵御各类流量攻击,实现了1+1>2的防御效果。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。