新型SLP漏洞或将引发超大规模DDoS放大攻击 系数高达2200 倍

近年来，随着技术发展、资源扩展、恶意攻击者谋求非法利益、地缘政治冲突等多种因素影响，DDoS攻击数量不断创下新高，其攻击规模也不断扩大。近期，安全公司Bitsight和Curesec的研究人员在服务位置协议(SLP)中发现了一个高严重漏洞CVE-2023-29552，该漏洞允许攻击者发起DDoS放大攻击，系数高达2200倍，使目标网站快速瘫痪，影响全球2000多家企业和54000多个通过互联网访问的SLP实体，包括VMWare ESXi管理程序、柯达打印机、Planex路由器、IBM集成管理模块（IMM）、SMC IPMI等665种产品。

DDoS 反射攻击通过伪造被攻击者的 IP 地址、向有开放服务的服务器发送构造的请求报文，该服务器会将数倍于请求报文的回复数据发送到被攻击 IP，从而对目标服务器间接形成 DDoS 攻击。这种类型的攻击通常会利用用户数据报协议（UDP）追求速度、对源 IP 不进行认证的特点隐藏攻击者真实位置并潜在地消耗目标服务器资源。

除此之外，攻击者还可以利用UDP发起放大攻击，主要通过欺骗目标的IP地址，并向用于解析域名、同步计算机时钟或加快数据库缓存的配置不当的服务器发送数量较少的数据。由于服务器自动发送的响应比请求大几十倍、几百倍甚至几千倍，所以这种自动响应让受骗的目标不堪重负。DDoS放大攻击适用于各种通过 UDP 进行传输的协议，包括 DNS（域名系统）、mDNS（组播 DNS）、SSDP（简单服务发现协议）、SNMP（简单网络管理协议）、SLP（服务定位协议）等。

服务定位协议（SLP）用于本地网络中自动服务发现和应用程序之间的动态配置，使计算机和其他设备能够在局域网中找到服务，如打印机、文件服务器和其他网络资源。研究人员发现，要实现通过CVE-2023-29552漏洞发起放大攻击以影响SLP实体的目的，攻击者只需要在UDP 427端口找到一个SLP服务器并注册，然后以目标服务器的IP作为源地址反复对该服务发起请求，直到SLP拒绝服务。

与许多其他基于 UDP 的协议一样，由于攻击者可以通过一个 29 字节的请求来查询 SLP 服务器上的可用服务，而服务器回复通常在 48 到 350 字节之间，系数被发大了 1.6 倍到 12 倍之间，因此公共的 SLP 实例很可能会被滥用于 DDoS 放大攻击。但经研究人员调查发现，大量SLP允许未经身份验证的用户在SLP端点上注册任意新型服务，因而将后续服务器响应增加到UDP数据包的极限，即65，536字节。

研究人员基于攻击者角度模拟攻击流程，攻击者首先需要将数据包发送到SLP服务器以注册新服务，直到其缓冲区已满且服务器不再接受新注册。之后，攻击者可以通过发送虚假源 IP 地址的服务列表请求来进行常规反射攻击，将 29 字节请求生成 65，000 字节的响应，从而产生高达2200倍的放大系数，导致大规模的DDoS攻击。

为降低漏洞威胁，研究人员建议用户在直接连接到互联网的系统上禁用SLP，或过滤UDP和TCP 427端口流量以防止外部攻击者访问 SLP 服务。同时，用户还可以实施强有力的认证和访问控制，只允许授权用户访问正确的网络资源并对访问进行密切监控和审计。但由于SLP的分布范围之广、影响程度之深，基于SLP的DDoS攻击可能将在未来几周内大幅上升，因此除了企业运维人员日常的一些防范意识及操作外，第三方供应商提供的付费增值服务是最佳选择，网宿科技的DDoS云清洗、腾讯云的T-Sec DDoS 基础防护、阿里云的云盾等在技术和基础设施上均具备雄厚资源以抵抗DDoS攻击，企业可按需选择。

总之，防范和应对DDoS攻击需要多方面的措施和努力，只有加强安全意识，不断完善安全防护措施，才能更好地保护企业和组织的业务安全和声誉。

https://www.csoonline.com/article/3694650/new-ddos-amplification-vector-could-enable-massive-attacks.html