背景
据CERNET2014年10月的月报统计,其38个主节点中有超过一半检测到来自国内次数超过2200次、总流量超过16TB的NTP反射放大攻击;2016年10月美国Dyn公司的DNS服务器遭受DNS反射放大攻击与SYN洪水攻击,导致美国大范围断网;2017年11月13日到2017年11月15日期间,ZoomEye网络空间探测引擎探测到一个活动频繁的攻击——CLDAP DDoS反射放大攻击,随后对DDoS反射放大攻击进行了第三轮的探测,发布出《DDoS反射放大攻击全球探测分析-第三版》;2018年3月CCERT公布memcached反射放大攻击流量占比有大幅增长。
在最新的Zoomeye第四次网络空间探测结果显示全球依旧存在着大量会被利用来反射放大的主机。类如全球2千万台UDP 53端口相关的主机,约18.1%存在着放大倍率,1千万台UDP 161端口相关的主机,约14.36%(167万台)存在着放大倍率,其中放大倍数在10倍以上的主机占存在放大倍率总数的36.84%,尤其值得注意的是我国所占主机量上升到了第二位。
反射放大型DDOS即利用反射手段将分布式拒绝服务攻击进一步放大,同时隐藏掉自己的身份。
我们需要先弄清其原理,从而更好的防护它。
接下来从三步走的方式弄懂反射放大型DDOS的原理、模拟和防止。
第一步: 原理
这种攻击的原理有两个,第一点是ddos是如何形成的?当然是利用某些协议的漏洞,对使用这种使用这些协议的设备进行控制,利用流量对目标进行高带宽的打击,迫使其服务终端,系统瘫痪。
第二点是反射,反射是指攻击者并不直接攻击目标服务IP