Loop DoS：新的基于 UDP 的 DDoS 攻击

本文描述了流行的基于UDP的应用层协议实现中的DoS攻击向量。据我们所知，虽然该攻击尚未被攻击者滥用，但实施门槛并不高。

背景：

应用层循环是一种（D）DoS攻击形式。具有欺骗能力的攻击者可以创建这样的循环，如果两个网络服务继续响应对方的消息。例如，想象一下，如果两个服务在接收到错误消息作为输入时都会响应错误消息，则可以创建这样的循环。如果输入错误导致输出错误，并且第二个系统的行为也是相同的，这两个系统将无限期地彼此发送错误消息。

为了说明攻击向量，想象一下具有这种错误反射行为的两个DNS解析器。如果对两个系统来说，一个错误的输入会导致错误的输出，那么在接收到攻击触发器时，这两个系统将不断地彼此发送错误消息，直到无限期。下图显示了我们在真实DNS服务器中发现的这样一个例子。攻击者现在可以通过注入单个IP欺骗的DNS错误消息在这两个有缺陷的DNS服务器之间引发循环。一旦注入，易受攻击的服务器将持续不断地发送DNS错误消息，对两个服务器和连接它们的任何网络链路都会造成压力。

这种应用层循环行为现在（即2023年）已被发现存在于某些TFTP、DNS和NTP实现中。此外，至少有六种基于UDP的传统协议（QOTD、Chargen 和 Echo、Time、Daytime 和 Active Users）在设计上始终存在，部分文档记录在1996年的CERT公告CA-1996-01中。

应用层循环与由于配置错误的路由器引起的已知网络层循环不同。现有的在网络层检测循环的网络级防御措施（例如IP中的生存时间跳限）无法阻止攻击。需要采取正交行动项来减轻应用层循环DoS攻击的潜在危害。

运营社区的行动：

我们知道至少有TFTP（约23k个主机）、DNS（约63k个）、NTP（约89k个）、Echo/RFC862（约56k个）、Chargen/RFC864（约22k个）和QOTD/RFC865（约21k个）等有易受攻击的实现的服务器。我们尚未测试其他协议，并且专注于那些已被广泛部署（TFTP、DNS、NTP）或易于滥用（传统）的协议。

一次性报告至少23k个主机）、DNS（约63k个）、NTP（约89k个）、Echo/RFC862（约56k个）、Chargen/RFC864（约22k个）和QOTD/RFC865（约21k个）。我们尚未测试其他协议，并且专注于那些已被广泛部署（TFTP、DNS、NTP）或易于滥用（传统）的协议。

一次性报告：

我们知道至少有TFTP（约23k个主机）、DNS（约63k个）、NTP（约89k个）、Echo/RFC862（约56k个）、Chargen/RFC864（约22k个）和QOTD/RFC865（约21k个）等有易受攻击的实现的服务器。我们尚未测试其他协议，并且专注于那些已被广泛部署（TFTP、DNS、NTP）或易于滥用（传统）的协议。

同时修复所有这些服务器似乎不太现实。更糟糕的是，虽然我们知道一些受影响的产品和软件（请参阅常见问题解答），但我们尚不能将我们发现的大多数（约80%）易受攻击的系统归因于滥用。NTP中的漏洞可能可以归因于使用2010年前版本的ntpd的系统。传统协议（Echo/Chargen/QOTD/Time/Daytime/Active Users）由设计上容易受到攻击。对于TFTP和DNS，我们仍需要运营商的输入来了解受影响的软件设置。

报告地址：
https://docs.google.com/document/d/1KByZzrdwQhrXGPPCf9tUzERZyRzg0xOpGbWoDURZxTI/edit