威胁预警：首次监控到黑客自建数万倍的反射源参与反射攻击

0x00 概述

百度安全智云盾团队在2020年3月底的攻击事件审计中，发现其中一次DDoS反射攻击事件对应的采样报文中存在异常的反射数据包，立即对这次反射攻击进行了深入分析。从而有了一个重大发现，我们首次监控到黑客自建了数万倍的反射源参与DDoS反射攻击。

0x01 异常捕获

当我们审计这次反射攻击事件时，发现多个异常：

（1）反射源top排名异常

反射源很多，但排在第一的反射源引入了20%的反射流量。

（2）采样包异常

用wireshark打开这次事件的采样包文件，很明显看到有一个IP连续发送大量的包，如下图所示：

不仅包数量很多，而且数据包的长度还很一致，都是1370字节。

（3) Payload异常

查看此类数据包的的payload如下图示：

Payload的内容几乎无规则可言，与端口对应的协议也无从匹配。查验该反射源IP的区域则显示位于罗马尼亚。

智云盾威胁监测平台具备关联监测能力，在发现IP被攻击的同时，会自动下发被攻击的IP到智云盾全球威胁中心，通过该中心可以定制采集到伪造了被攻击IP发起的请求包。通过这个监测框架，顺利的情况下可以监控到反射攻击的完整链路。

在本次攻击事件中，没有直接监控到伪造被攻击IP发起的请求包。所以我们通过模拟请求的方式来验证这个异常的反射源。

0x02 攻击分析

（1) 模拟请求

我们模拟特定payload的UDP数据包发送给该反射源，收到的响应包与3月份反射攻击事件很相似。而且不管修改什么样的payload，都能收到类似的数据包，最后尝试采用payload为空的udp报文请求时，还能收到类似的响应包，如下图示：

分析多次模拟请求收到的响应包，统计接手个数，每次不完全一样，响应少的有1364个，响应多的达到了2325个。但每一个响应包payload长度都是1370。

仔细分析这些响应数据包的payload发现：每一次响应的第一个返回包payload首部是80210000，第二个UDP返回包首部是80210001。对比后续数据包的payload，我们发现后四个字节按16进制依次递增。

（2) 反射原理

攻击者采用反射方式实施DDoS攻击时，不是直接攻击受害者IP，而是伪造了受害者IP为源IP的请求包发送给相应的开放服务，通常开放服务会完成响应，并将响应数据包发送到受害者IP，实现了攻击流量的反射，这类开放服务就是反射源。

原理如下图所示：

图4中攻击者P伪造了请求包BA并发送到PA，但BA的源IP是PV，所以PA响应的时候发送BV给到PV。

反射攻击一方面隐藏了攻击IP，同时还有一个重要特征是放大，上述原理图中的BV往往是BA的好几倍，甚至是成千上万倍。正是因为有了这样的特性，黑客组织乐此不疲的使用这一攻击方式，并不断的研究新型反射攻击增强攻击效果。

（3) 反射倍数

在模拟请求的验证中，我们发出一个最小数据包，获取到的返回包个数最多的一次是2325个，而且每个包长都是1370。

计算DDoS反射攻击的反射倍数，不应简单的用所有响应报文的payload长度和除以请求包的长度。如果是这样算，那在这次反射事件中，这一反射源的反射倍数就是无穷大了。早在2018年，我们在《MEMCACHED DRDoS攻击趋势》一文就提出了更科学严谨的计算方法，那就是计算长度时要把网络包头和以太网帧间隙考虑进去，因为这些也占用了网络的带宽资源。

因此在payload基础上还要包括：14（以太头）+20（IP头）+8（UDP头）+4（FCS头）+20（帧间隙）=66字节，而最小报文长为：60（最小报文长度）+4（FCS头）+20（帧间隙）=84字节。

可以计算该反射源的最大反射倍数为（1370+66）*2325/84=39746.4倍。

即反射倍数达到了近4万倍。除了MEMCACHE以外，还从没有发现过这么大倍数的反射源。

当我们进一步研究这是什么样的开放服务时，更惊奇的发现这个IP上竟然开放了148个类似的UDP反射端口。

于是我们利用该特征对全网V4的IP进行探测，希望可以了解更多。

（4) 全网探测

考虑全网探测的风险和对数据分析的必要性，最终决定只探测海外IP。

通过对全网数据分析，我们发现了42个拥有类似能力的IP，这些IP的相同点在于接收单个UDP请求都会响应多个UDP大包，而且单IP上开启了多个UDP端口提供类似服务。这些IP主要分布在美国，日本，罗马尼亚等。

下图是海外IP分布情况：

0x03 反射攻击的趋势

反射攻击比起传统的流量攻击具隐蔽性高、可以放大等特点，所以在诞生之初就迅速受到了黑客的青睐。这其中MEMCACHE由于反射倍数最高达到十五万倍的特性，在18年初首次披露后，给被攻击者造成了巨大损失。

从智云盾监测的数据来看，NTP，LDAP，SSDP与MEMCACHE是黑客最喜爱的反射攻击类型。下图是智云盾2019年上述四种反射攻击类型占比分布：

黑客更倾向使用MEMCACHE类型的反射攻击，主要就是其拥有无与伦比的反射放大倍数。但是随着MEMCACHE的治理，增加了相应的安全防护，全网暴露并且可放大的MEMCACHE服务越来越少。从智云盾2019年的攻击事件数据观测到自从2019年2月份之后，MEMCACHE作为主要反射类型的攻击事件锐减。

统计到的趋势图如下：

同时，近几年各安全团队也捕获到了多次黑客利用新类型反射的攻击事件，如下表所示：

但这些新的反射源也很难提供超大的攻击能力，攻击者肯定还在探究一些新方式，一些新资源。所以，结合我们这次捕获的数据评估，这些特殊的能够达到数万倍反射能力的反射源是黑客自建的：
i. 可以继续隐藏自己
ii. 可以更灵活的调整

0x04 防治措施

一方面，我们会持续关注这些自建反射服务的存活情况，及时预警；

另一方面，我们也呼吁为了减少开放服务成为攻击者的帮凶，邀请服务提供商重视安全，做好相应服务的防治措施。

我们对黑客常用的四种反射类型涉及的服务提出了相应的防治措施：

1. MEMCACHE服务
   a) 封禁UDP协议，只使用TCP进行数据传输。
   b) UDP服务如果没有公网访问需求，设备不启用公网地址。
2. NTP服务
   a) NTP服务器版本升级到4.2.7，关闭monlist功能
3. LDAP服务
   a) LDAP服务如果只服务于内网，设备不启用公网地址。
   b) 对来源IP采取白名单的准入方式
4. SSDP服务通常被用来做局域网的设备发现协议
   a) SSDP服务如果只服务于内网，设备不启用公网地址
   b) 对来源IP采取白名单的准入方式