浅谈流量放大攻击

前言：最近看到一篇news说有人通过WindowsRDP的UDP放大流量，从而进行ddos攻击。于是好奇心的驱使下了解了一波，本文本次只讲述最基础的原理，不涉及协议本身。

1.流量放大攻击

流量放大攻击从字面上很好理解，流量被放大了，被用于攻击。那如何攻击放大流量？又该如何攻击呢？我们这里就来唠一唠。

１.１正常访问流量连接

总所周知，我们想在网上要跟对方交互首先得建立连接，不管是还是TCP,UDP,ICMP连接一般是这样的。

1.2流量重定向攻击

要想进行流量放大攻击,攻击的首先是其他人,不能是自己。

1.3流量放大

流量放大,就是你发一个包给对方,对方能够成倍数的把包返回给你。

1.4流量放大攻击

所以流量放大攻击就长这样。

流量放大从上图就很容易理解,因为漏洞/协议自身的原因。当攻击者伪装成受害者向服务端发送请求,服务端给受害者回大量的包。再加上分布式就形成了拒绝式流量放大攻击。

2.哪些协议可以放大

要想造成流量放大攻击,首先要能伪造请求方,UDP这种无状态协议无异成为了首选。

倍数如下描述：

在 RDP 的情况下，DDoS 放大倍数是 85.9，攻击者只需要发送几个字节的数据包，就能返回长度为 1260 个字节的数据包攻击受害者。85.9 的放大倍数使 RDP 反射放大跻身 DDoS 反射放大的第一梯队，例如 Jenkins（约 100 倍），DNS（最多 179 倍），WS-Discovery（300 到 500 倍），NTP（约 550 倍）和 Memcached（约 50000 倍）。

3.实验一下

kali底下的scapy挺好用的，这里就用这个做演示吧。

首先我们尝试下TCP

c=IP(dst='192.168.158.138',src='6.6.6.6')/TCP(dport=80,sport=80)/"GET /1.jpeg HTTP/1.0 nn"send(c)

结果如下：

TCP会强制让你三次握手，发送143返回54，明显亏本我们换一个TFTP

a = IP(dst='192.168.158.130',src='6.6.6.6')/UDP(sport=80,dport=69)/TFTP()/TFTP_RRQ(filename='1.jpeg')send(a)

这个就棒了，60K换3416K,达到了57倍。

遗憾的是RDP我没复测出来，抓了半天的包一个UDP都没。有没有老哥复现的可以留言交流一下。

本文始发于微信公众号（边界骇客）：浅谈流量放大攻击