浅谈流量放大攻击

  • A+
所属分类:安全闲碎

前言:最近看到一篇news说有人通过WindowsRDP的UDP放大流量,从而进行ddos攻击。于是好奇心的驱使下了解了一波,本文本次只讲述最基础的原理,不涉及协议本身。



1.流量放大攻击

流量放大攻击从字面上很好理解,流量被放大了,被用于攻击。那如何攻击放大流量?又该如何攻击呢?我们这里就来唠一唠。


1.1正常访问流量连接

总所周知,我们想在网上要跟对方交互首先得建立连接,不管是还是TCP,UDP,ICMP连接一般是这样的。

浅谈流量放大攻击

1.2流量重定向攻击

要想进行流量放大攻击,攻击的首先是其他人,不能是自己。

浅谈流量放大攻击

1.3流量放大

流量放大,就是你发一个包给对方,对方能够成倍数的把包返回给你。

浅谈流量放大攻击

1.4流量放大攻击

所以流量放大攻击就长这样。

浅谈流量放大攻击

流量放大从上图就很容易理解,因为漏洞/协议自身的原因。当攻击者伪装成受害者向服务端发送请求,服务端给受害者回大量的包。再加上分布式就形成了拒绝式流量放大攻击。


2.哪些协议可以放大

要想造成流量放大攻击,首先要能伪造请求方,UDP这种无状态协议无异成为了首选。

倍数如下描述:

在 RDP 的情况下,DDoS 放大倍数是 85.9,攻击者只需要发送几个字节的数据包,就能返回长度为 1260 个字节的数据包攻击受害者。85.9 的放大倍数使 RDP 反射放大跻身 DDoS 反射放大的第一梯队,例如 Jenkins(约 100 倍),DNS(最多 179 倍),WS-Discovery(300 到 500 倍),NTP(约 550 倍)和 Memcached(约 50000 倍)。


3.实验一下


kali底下的scapy挺好用的,这里就用这个做演示吧。

首先我们尝试下TCP

c=IP(dst='192.168.158.138',src='6.6.6.6')/TCP(dport=80,sport=80)/"GET /1.jpeg HTTP/1.0 nn"send(c)

结果如下:

浅谈流量放大攻击

TCP会强制让你三次握手,发送143返回54,明显亏本我们换一个TFTP

a = IP(dst='192.168.158.130',src='6.6.6.6')/UDP(sport=80,dport=69)/TFTP()/TFTP_RRQ(filename='1.jpeg')send(a)

浅谈流量放大攻击

这个就棒了,60K换3416K,达到了57倍。


遗憾的是RDP我没复测出来,抓了半天的包一个UDP都没。有没有老哥复现的可以留言交流一下。


本文始发于微信公众号(边界骇客):浅谈流量放大攻击

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: