0x00概述
百度安全智云盾团队在2020年2月为某第三方IDC提供DDoS防御能力时,首次捕获到利用开启netAssistant(网络调试助手)服务的网络设备发起的DDoS反射攻击。据现有资料表明,这种反射攻击方式尚属全网首次出现,智云盾系统在2秒内识别攻击,实时对流量做了隔离和清洗,保障用户免遭DDoS的伤害。
netAssistant服务常见绑定于3283端口,服务支持TCP与UDP两种传输协议,此次反射基于UDP协议传输。由于UDP协议的不可靠性质,导致开启该服务的网络设备被黑客利用作为反射源进行DDoS反射攻击。
0x01反射攻击原理
反射类型的DDoS攻击不是直接攻击受害者IP,而是攻击者以受害者的IP为源IP伪造相关的请求包发送给对应的开放服务,开放服务会完成响应,这类服务就是反射源,将响应数据包发送到受害者IP,实现了攻击流量的反射。
反射攻击原理如下图所示:
图1 反射攻击原理示意图
图1中攻击者P发送请求包BA到PA,但数据包BA的源IP是PV,所以PA响应的时候发送BV给到PV。
反射攻击一方面隐藏了攻击IP,同时还有一个重要特征是放大,上述原理图中的BV往往是BA的好几倍,甚至是成千上万倍。正是因为有了这样的特性,黑客组织乐此不疲的使用这一攻击方式,并不断的研究新型反射攻击增强攻击效果。
0x02攻击分析
智云盾系统检测到攻击时&