内容导读:导航目录:1、如何利用tftp协议发动ddos放大攻击2、今天美国加州的服务器遭黑客攻击了吗3、如何防御windows系统ntp协议的ddos攻击4、什么是NTP反射放大攻击?如何利用tftp协议发动ddos放...……
导航目录:
如何利用tftp协议发动ddos放大攻击
据有关媒体报道,有几位来自爱丁堡龙比亚大学的安全研究专家(Boris Sieklik, Richard Macfarlane以及Prof. William Buchanan)发现了一种能够进行DDoS放大攻击的新 *** 。在此之前,安全社区中的安全专家们就已经发现他们可以利用一些存在错误配置的服务协议(例如DNS或者 *** 时间协议NTP等)来进行放大攻击。现在,安全专家又发现了,他们还可以利用TFTP协议来进行放大攻击。
无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在 UDP 协议中,正常情况下客户端会发送请求包到服务端,服务端再将响应包返回至客户端,但是 UDP 协议是面向无连接的,所以客户端发送请求包的源 IP 地址很容易进行伪造,当把源 IP地址修改为受害者的 IP地址之后,最终服务端返回的响应包就会返回到受害者的 IP地址。这就形成了一次反射攻击。
放大攻击指的就是一次小的请求包最终会收到一个或者多个多于请求包许多倍的响应包,这样就达到了四两拨千斤的效果。
TFTP协议(Trivial File Transfer Protocol),即简单文本传输协议。该协议是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议,它可以为用户提供简单的、开销不大的文件传输服务。TFTP协议是基于UDP协议实现的,而且此协议设计的时候是为了进行小文件传输而设计的,所以它不具备通常FTP的许多功。除此之外,它只能从文件服务器上下载或写入文件,而且不能列出目录,不进行认证。
安全专家们发现,攻击者可以利用TFTP协议来在他们的攻击过程中获得一个显著放大的攻击向量。而且不幸的是,根据相关的端口扫描研究报告显示,目前的互联网中存在有大约599600个开放的TFTP服务器。
相关安全研究人员已经确认,这项技术将帮助攻击者获得相较于原始攻击向量六十倍的放大攻击向量。
安全研究人员Boris Sieklik表示:“协议中所存在的这个漏洞将允许攻击者利用这些开放的TFTP服务器来对他们的DDoS攻击向量进行放大。如果所有条件均满足的话,攻击者所获得的攻击向量将会是原始攻击向量的六十倍之多。”
除此之外,该研究人员还说到:“我对这类攻击可能产生的影响进行了研究,在对几个不同的TFTP软件进行了研究之后,我发现大多数的软件都会自动对相同的信息进行至少六次转发,而这也将有助于攻击者放大攻击向量。”
正如我们在文中所介绍的那样,TFTP协议(简单文本传输协议)是一个简化版的FTP协议(即文本传输协议,该协议主要用于局域网的文件传输)。因此,TFTP协议则更加简单,实现起来也非常的容易,所以很多组织和机构都会选择使用TFTP服务器。
当然了,我们也可以利用TFTP协议来传输任何类型的文件。为了实现DDoS攻击向量的放大效果,攻击者可以专门伪造一个发送至服务器端的请求信息,然后再伪造一个返回地址。这样一来,服务器所发送的响应信息将会比原始的请求信息更大,攻击者也就成功地实现了放大攻击向量的目的了。
目前,互联网中存在有大量错误配置的服务,攻击者还可以利用这些服务来对某一特定的网站进行攻击。攻击者可以利用伪造的请求信息和响应信息来向这些网站发送垃圾信息,以实现攻击。
安全研究人员表示,他们将会在三月份的计算机安全技术杂志中发表他们的研究成果,并且他们还会向广大用户提供检测和缓解这类攻击的 *** 。敬请期待!
今天美国加州的服务器遭黑客攻击了吗
昨日CDN服务商Cloudflare的一位客户遭受的DDoS攻击创下历史新高,根据Cloudflare首席执行官Matthew Prince在Twitter上透露的信息,攻击的峰值超过400GB/秒。
攻击使用了了时下流行的 *** 时间协议反射(NTP reflection)放大攻击,与黑客组织DERP Trolling攻击大型游戏网站使用的手法相同,向NTP服务器发送假冒的同步请求,导致受攻击网站接受到潮水般的回复。
反射攻击已经已经成为DDoS工具和僵尸 *** 的主流技术,但是使用NTP还相对较新。去年对SPAMhaus的攻击当时创下DDoS的规模记录,当时攻击者使用了DNS放大攻击技术。
相比而言,NTP返回的数据量相对较小,但是随着人们不断减少可供攻击者使用的Open DNS服务器数量,攻击者开始青睐NTP放大攻击,目前全球有超过3000台活跃的时间服务器可以响应NTP请求,此外一些小规模的 *** 中还有大量时间服务器可以对外部请求作出响应。
而且,最近NTP爆出的漏洞让攻击者可以采用DNS放大攻击中的技术来搞定NTP。利用NTP协议中的“monlist”命令,假冒目标服务器的IP地址请求发送最近600个连接设备的IP地址数据,造成目标服务器被大量IP地址数据“淹没”。
*** 运营商如果能够正确配置防火墙阻断monlist这样的异常外部请求,就可以有效遏制NTP攻击。
如何防御 windows系统ntp协议的ddos攻击
DDoS攻击并不是新技术,该攻击方式最早可以追溯到1996年,2002年时在我国就已经开始频繁出现。在DDoS攻击发展的这十几年间,DDoS攻击也在不断变化。数据显示,更大规模的DDoS攻击峰值流量超过了240 Gbps,持续了13个小时以上。DDOS攻击下隐藏的是成熟的黑色产业链,黑客甚至对攻击进行明码标价,打1G的流量到一个网站一小时,只需50块钱。DDoS的成本如此之低,而且日益简化没有了技术门槛,更没有管理制度。使得DDOS攻击在互联网上的肆虐泛滥,个人站长不可能时刻去更新 *** 配置去抵御DDOS。那么,站长们应该采取怎样的措施进行有效的防御呢?下面本文就介绍一下防御DDoS的基本 *** 。
*** /步骤
确保服务器系统的安全 首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。对于国外虚拟主机,像HostEase,BLueHost这些成熟的主机商这些都是必备的服务。
隐藏服务器真实IP 如果资金充足,可以选择高防主机,在服务器前端加CDN中转,所有的域名和子域名都使用CDN来解析。HostEase最新推出洛杉矶两款高防主机,内存高达32GB,硬盘1TB,目前正在特价促销中。
发送邮件要注意 服务器对外传送信息会泄漏IP,最常见的是,服务器不使用发送邮件功能。如果一定要发送邮件,可以通过第三方 *** (例如sendcloud)发送,这样显示出来的IP是 *** IP。 不难发现服务器防黑最根本的措施就是隐藏IP,只要不泄露真实IP地址,10G以下小流量DDOS的预防还是非常简单的,免费的CDN就可以应付得了。如果攻击流量超过20G,那么免费的CDN可能就顶不住了,使用高防主机才能确保网站安全。最后重要的事情再说一遍服务器的真实IP是需要隐藏的。
什么是 NTP 反射放大攻击?
NTP是用UDP传输的,所以可以伪造源地址。
NTP协议中有一类查询指令,用短小的指令即可令服务器返回很长的信息。
放大攻击就是基于这类指令的。
*** 上一般NTP服务器都有很大的带宽,攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器,即可给目标服务器带来几百上千Mbps的攻击流量,达到借刀杀人的效果。所以现在新的ntpd已经可以通过配置文件,关掉除时间同步以外的查询功能。而时间同步的查询和返回大小相同(没记错的话),所以没办法用作放大攻击。
*** 时间协议(Network Time Protocl)。
通常NTP服务使用UDP 123 端口
如何防御
我们可以分为两种情况进行防御
加固 NTP 服务
1. 把 NTP 服务器觉得如果流量真的够大,400G?800G?或者升级到 4.2.7p26
2. 关闭现在 NTP 服务的 monlist 功能,在ntp.conf配置文件中增加`disable monitor`选项
3. 在 *** 出口封禁 UDP 123 端口
防御 NTP 反射和放大攻击
1. 由于这种攻击的特征比较明显,所以可以通过 *** 层或者借助运营商实施 ACL 来防御
2. 使用防 DDoS 设备进行清洗