AMP Research

ستحتوي المجلدات الفرعية الموجودة في هذا المستودع على ما يلي:

• نظرة عامة على README.md
  • الاسم والمنافذ وعوامل التضخيم ومعلومات التحديث
  • طلب <> مثال استجابة مع اختبار IP (netcat yay!)
  • الوثائق الرسمية المحتملة
  • استراتيجيات التخفيف المحتملة
• الحمولة الأولية (على سبيل المثال للاستخدام في zmap) أو البرنامج النصي للمسح المحتمل (C).
• البرنامج النصي لفيضان المقبس الخام (C) للتحليل لإنشاء عمليات تخفيف التدفق أو ACL.

• يُظهر بحث Honeypot مجموعة متنوعة من أساليب تضخيم DDoS (SRLabs 2021-07-30) - https://www.srlabs.de/bites/honeypot-research-shows-variety-of-ddos-amplification-methods
• DHCPDاكتشف توصيات تخفيف الانعكاس/التضخيم لهجوم DDoS | NETSCOUT (2021-07-07) - https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attack-mitigation
• إساءة استخدام خوادم Powerhouse VPN (2021-02-22) - https://www.zdnet.com/article/powerhouse-vpn-products-can-be-abused-for-large-scale-ddos-attacks/
• إساءة استخدام انعكاس DVR ضد خوادم Azure R6 وArk Evolved (2021-02-04) - https://azure.microsoft.com/en-au/blog/azure-ddos-protection-2020-year-in-review/
• بدأ فحص MS-RDPEUDP بواسطة مؤسسة Shadowserver (2021-01-25) - https://www.shadowserver.org/news/scanning-for-accessible-ms-rdpeudp-services/
• تقارير خدمة STUN التي يمكن الوصول إليها من مؤسسة Shadowserver (2024-01-01) - https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/

التضخيم هو عندما تؤدي طلبات بيانات المقبس أو التطبيق جيدة التكوين أو المشوهة إلى استجابة أكبر من بيانات الإدخال. يمكن بعد ذلك إساءة استخدام هذا "لتضخيم" الطلب، عادةً عن طريق هجمات رفض الخدمة المنعكسة الموزعة (DRDoS). عادةً ما يتم جمع هذا التمييز تحت شعار "DDoS" واحد؛ ومع ذلك، يشير الأول إلى أن حركة المرور لا تأتي مباشرة من الروبوتات أو الخوادم الفردية ولكنها تنعكس من الخدمات الحميدة عادة، مما يجعل القوائم السوداء وحلول جدار الحماية البسيطة عديمة الفائدة.

أفضل طريقة لإظهار ما يعنيه هذا هي استخدام بروتوكول الشبكة MSSQL عبر منفذ TCP/IP UDP رقم 1434 كمثال.

echo -ne 'x02' | nc -u -q 2 190.xx.xx.xx 1434|xxd -p|wc -c

 629 بايت

وهذا عامل تضخيم يزيد عن 23 مرة.

echo -ne 'x00x14x00x01x03' |nc -u 89.xx.xx.xx 3283|hexdump

 0000000 0100 ea03 3100 0000 0000 0000 0000 0000
0000010 0000 0000 0000 0000 0000 0000 0000 0000
0000020 0000 0000 0000 0000 0100 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
_
0000050 0000 1200 0000 0000 0000 0000 0000 0000
0000060 0000 0000 0000 0000 0000 0000 0000 0000
0000070 0000 0000 0000 0000 0000 0000 0000 640a
0000080 7461 6861 6565 6472 0034 0000 0000 0000
0000090 0000 0000 0000 0000 0000 0000 0000 0000
_
00000c0 0000 0001 0000 0000 0000 0000 0000 0000
00000d0 0000 0000 0000 9803 0000 0100 18f0 ed98
00000e0 9288 0000 0000 0a00 6400 6100 7400 6100
00000f0 6800 6500 6500 7200 6400 3400 0000 0000
0000100 0000 0000 0000 0000 0000 0000 0000 0000

البرامج النصية العامة C:

gcc -pthread -O2 -o binary file.c

البرامج النصية لـ TCP (تتطلب تجميع 32 بت لتجنب قيم إرجاع دالة المجموع الاختباري غير الصالحة):

gcc -m32 -pthread -O2 -o binary file.c

هذا الريبو موجود هنا لمساعدة الجميع على التخفيف من ناقلات التضخيم التي لم يتم إساءة استخدامها بعد أو يتم إساءة استخدامها بشكل نشط مع القليل من المعلومات ذات الصلة أو الموحدة.

يتم فحص قوائم العاكسات وتقديمها على أساس كل حالة على حدة أو عند الضرورة للإصلاح في سلة المهملات هنا.

• ومن أمثلة الحالات ما يلي:
  • الأجهزة المضيفة المصابة التي يجب إضافتها بسرعة إلى القائمة السوداء لجذب انتباه مالكي الشبكة.
  • البروتوكولات المدمرة (مثل MemcacheD) وتتطلب قوائم منشورة للثقب الأسود أو للاتصال الجماعي بأصحاب الشبكات.
  • لأن شودان لديه بالفعل لك.