应对UDP反射放大攻击的五种常用防护思路

本月，美国联邦调查局（FBI）发出警告，称发现几种新的网络协议被不法分子用来发动大规模的分布式拒绝服务（DDoS）攻击。警告包括三种网络协议和一款Web应用程序。其中CoAP（受约束的应用协议）、ARMS（Apple远程管理服务）和WS-DD（Web服务动态发现）这三种网络协议已有媒体报道，发现了在实际网络环境中的滥用情况。

FBI 的官员表示，这些新型 DDoS 攻击途径已经是迫在眉睫的真实威胁。由于它们对相关设备的必要性，厂商难以通过禁用实现攻击的阻止。而这无疑给打造大规模僵尸网络，发动极具破坏性的 DDoS 攻击提供了便利。

找到有效安全手段的前提，是对攻击的充分了解。以下是绿盟科技对这四种新型 DDoS 攻击途径的解读，以及核心的防护思路分享。

CoAP是一种轻量级的机器对机器(M2M)协议，可以在内存和计算资源稀缺的智能设备上运行。简单来说，CoAP与HTTP非常类似。但它不是工作在TCP包，而是在UDP上。就像HTTP用于在客户端和服务器之间传输数据和命令（GET、POST、CONNECT等）一样，CoAP也允许相同的多播和命令传输功能，但不需要那么多的资源，这使它成为物联网设备的理想选择。然而，就像其它基于UDP的协议，CoAP天生就容易受到IP地址欺骗和数据包放大的影响，这也是它容易被 DDoS 攻击滥用的主要原因。

WS-DD是一种局域网内的服务发现多播协议。但经常因为设备厂商的设计不当，当一个正常的IP地址发送服务发现报文时，设备也会对其进行回应。如果设备被暴露在互联网上，即可被攻击者用于 DDoS 反射攻击。WSD协议所对应的端口号是3702。当前，视频监控设备的ONVIF规范以及一些打印机，都开放或在正在使用WS-DD服务。其实早在2019年，绿盟科技格物实验室就对WS-DD可被用于反射攻击做出了分析。

相关链接：http://blog.nsfocus.net/ws-discovery-reflection-attack-analysis/

2019年，已有不法分子利用Apple远程管理服务（ARMS）即Apple远程桌面（ARD）功能的一部分，实施了DDoS放大攻击。ARD启用后，ARMS服务开始在端口3283上侦听传输到远程Apple设备的入站命令，攻击者进而可以发动放大倍数为35.5的DDoS放大攻击。此漏洞的来源在于ARMS自身服务的设计缺陷。在使用UDP传输协议的情况下，客户端向netAssistant服务端口（即3283端口）发送一个UDP最小包，netAssistant服务便会返回携带有主机标识的超大包，请求与响应相差数十倍。由于其并未严格限制请求与响应比，导致暴露在公网中开启netAssistant服务的网络设备均有可能被当作反射源使用。

Jenkins是一个开源的、可扩展的持续集成、交付、部署（软件/代码的编译、打包、部署）的基于Web的平台。Jenkins是一个执行自动化任务的开源服务器。利用Jenkins的漏洞（如CVE-2020-2100），可以用来发动 DDoS 攻击。尽管Jenkins v2.219中已经修复了这个漏洞，但是很多Jenkin服务器仍然会受到影响。

实际上，除了FBI提及的这四种新型 DDoS 攻击途径，我们还应关注更多可用于反射放大攻击，工作在UDP的协议。如SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY等。

UDP反射放大攻击是近几年最火热，被利用最多的DDoS攻击方式之一。UDP数据包是无链接状态的服务，攻击者可以小代价的利用UDP协议特性攻击目标主机，使其无法响应正确请求，以实现拒绝服务。

那么，我们应该如何应对UDP反射放大攻击？本文给出以下五种常用的防护思路：

学习检查UDP报文中的 Payload，自动提取攻击指纹特征，基于攻击特征自动进行丢弃或者限速等动作。

产品通过对正常的业务流量进行学习建模，当某类异常流量出现快速突增的波动时，自动判断哪些是异常从而进行限速/封禁，以避免对正常流量造成影响。

通过对源IP、源端口、目标IP、目标端口的多种搭配组合进行限速控制，实现灵活有效的防护策略。

对于已知的UDP反射协议，如DNS服务器的IP地址添加为白名单，除此之外，其它源IP的53端口请求包全部封禁，使UDP反射放大攻击的影响面降低。

针对业务用户的地理位置特性，在遇到UDP反射攻击时，优先从用户量最少地理位置的源IP进行封禁阻断，直到将异常地理位置的源IP请求全部封禁，使流量降至服务器可处理的范围之内，可有效减轻干扰流量。