又一種DDoS攻擊,服務器管理員需要做更多工作。
2012年,網絡罪犯們想出了如何濫用DNS來進行大規模DDoS反射攻擊,我們可以將其理解為利用非常少的輸入創造大量流量。2013年,他們轉而利用網絡時間協議(Network Time Protocol,NTP)和簡單網絡管理協議(Simple Network Management Protocol,SNMP),其次不久則使用了簡單服務發現協議(Simple Service Discovery Protocol,SSDP)。
發現規律了沒?DDoS攻擊涌入那些配置失當的服務器,情景十分壯觀,也讓人擔憂。管理員趕忙修復漏洞,但網絡犯罪分子每次都會從某個新的協議或服務上發現可趁之機,讓過程重演。
DDoS攻擊防御公司現在會定期警告所有使用普遍、但很少被管理員考慮到的協議。如今又出現了另一個不起眼的服務,Portmapper,它現在也加入了被濫用的列表中。
發生了什么?美國主力通訊運營商Level 3注意到某種新型的DDoS攻擊,它會濫用Portmapper(也即RPCbind)服務。這種攻擊已經存在了一段時間,但其數量最近則有戲劇性的增加。
數量高峰出現的時間:6月下旬到8月中旬。
RCS(遠程控制系統,Remote Control System) Portmapper是什么?基本可以將其理解為經典的Unix目錄服務,可以讓如PC等平臺上運行的程序對其它位置的計算機發起遠程過程調用(Remote Procedure Call,RPC)。它已經存在好幾年了。
攻擊者做什么?他們偽造指向DDoS目標的地址,將UDP包發送給公共Portmapper服務。Portmapper會幫助攻擊者返回一個大得多的響應。如果有足夠多的查詢服務器,其管理人員也沒有意識到,那么這次攻擊就將被放大,壓倒攻擊目標。
濫用有多么容易?Portmapper應當是內部局域網使用的服務,不應該從外部訪問到。顯然很多服務器都遺留了這一漏洞。
是不是很嚴重?允許外部方接觸到Portmapper不是好事,可能會讓服務器在不經意間被用于DDoS攻擊第三方。
檢測到了多少攻擊流量?和其它被濫用協議進行比較,很少。但Level 3公司希望人們在局勢惡化前注意到它。如果不提醒,這類威脅通常會被忽略。
有補丁嗎?并不存在特定的軟件漏洞:Portmapper服務只是完成了其原本的設計功能。解決方案是禁止該服務,或者阻止對該服務的外部訪問。
其它被濫用的協議:DNS、NTP、Chargen、Netbios、SNMP、SSDP。
Levels3的話:“為了避免你的組織在未來成為DDoS攻擊的幫兇,我們建議在開放互聯網上禁用Portmapper和NFS、NIS以及所有其它RPC服務,這是最優方案。在必須保證開啟服務的情況下,應該對所有能接觸到服務的IP地址開啟防火墻,隨后切換到TCP-only。”
京公網安備 11010502049343號