AMP Research

Die Unterordner in diesem Repository enthalten Folgendes:

• Übersicht README.md
  • Name, Ports, Verstärkungsfaktoren, Update-Info
  • Request <> Response-Beispiel mit Test-IP (netcat yay!)
  • Mögliche offizielle Dokumentation
  • Mögliche Minderungsstrategien
• Die rohe Nutzlast (z. B. zur Verwendung in zmap) ODER ein potenzielles Scan-Skript (C).
• Raw-Socket-Flood-Skript (C) zur Analyse zum Erstellen von Flowspec- oder ACL-Entschädigungen.

• Honeypot-Forschung zeigt Vielfalt an DDoS-Verstärkungsmethoden (SRLabs 30.07.2021) – https://www.srlabs.de/bites/honeypot-research-shows-variety-of-ddos-amplification-methods
• DHCPDiscover Reflection/Amplification Empfehlungen zur Abwehr von DDoS-Angriffen | NETSCOUT (07.07.2021) – https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attack-mitigation
• Powerhouse VPN-Server werden missbraucht (22.02.2021) – https://www.zdnet.com/article/powerhouse-vpn-products-can-be-abused-for-large-scale-ddos-attacks/
• DVR-Reflektion gegen Azure R6- und Ark Evolved-Server missbraucht (04.02.2021) – https://azure.microsoft.com/en-au/blog/azure-ddos-protection-2020-year-in-review/
• Das MS-RDPEUDP-Scannen wurde von der Shadowserver Foundation begonnen (25.01.2021) – https://www.shadowserver.org/news/scanning-for-accessible-ms-rdpeudp-services/
• Shadowserver Foundation Accessible STUN Service Reporting (01.01.2024) – https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/

Bei der Verstärkung lösen wohlgeformte oder fehlerhafte Socket- oder Anwendungsdatenanforderungen eine Antwort aus, die größer ist als die Eingabedaten. Dies kann dann missbraucht werden, um eine Anfrage zu „verstärken“, normalerweise durch Distributed Reflected Denial of Service (DRDoS)-Angriffe. Diese Unterscheidung wird üblicherweise unter dem Schlagwort „DDoS“ zusammengefasst; Ersteres weist jedoch darauf hin, dass der Datenverkehr nicht direkt von Bots oder einzelnen Servern stammt, sondern von normalerweise harmlosen Diensten reflektiert wird, wodurch Blacklists und einfache Firewall-Lösungen in der Regel nutzlos werden.

Was das bedeutet, lässt sich am besten am Beispiel des Netzwerkprotokolls MSSQL über TCP/IP UDP-Port 1434 veranschaulichen.

echo -ne 'x02' | nc -u -q 2 190.xx.xx.xx 1434|xxd -p|wc -c

 629 Byte

Das ist ein Verstärkungsfaktor von über dem 23- fachen.

echo -ne 'x00x14x00x01x03' |nc -u 89.xx.xx.xx 3283|hexdump

 0000000 0100 ea03 3100 0000 0000 0000 0000 0000
0000010 0000 0000 0000 0000 0000 0000 0000 0000
0000020 0000 0000 0000 0000 0100 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
_
0000050 0000 1200 0000 0000 0000 0000 0000 0000
0000060 0000 0000 0000 0000 0000 0000 0000 0000
0000070 0000 0000 0000 0000 0000 0000 0000 640a
0000080 7461 6861 6565 6472 0034 0000 0000 0000
0000090 0000 0000 0000 0000 0000 0000 0000 0000
_
00000c0 0000 0001 0000 0000 0000 0000 0000 0000
00000d0 0000 0000 0000 9803 0000 0100 18f0 ed98
00000e0 9288 0000 0000 0a00 6400 6100 7400 6100
00000f0 6800 6500 6500 7200 6400 3400 0000 0000
0000100 0000 0000 0000 0000 0000 0000 0000 0000

Allgemeine C-Skripte:

gcc -pthread -O2 -o binary file.c

TCP-Skripte (erfordert 32-Bit-Kompilierung, um ungültige Rückgabewerte der Prüfsummenfunktion zu vermeiden):

gcc -m32 -pthread -O2 -o binary file.c

Dieses Repo soll allen dabei helfen, Verstärkungsvektoren zu entschärfen, die noch nicht missbraucht wurden oder aktiv missbraucht werden, ohne dass entsprechende oder konsolidierte Informationen vorliegen.

Reflektorlisten werden gescannt und von Fall zu Fall oder bei Bedarf zur Behebung hier im Pastebin bereitgestellt.

• Beispiele für Fälle sind:
  • Infizierte Hosts, die schnell zu einer Blacklist hinzugefügt werden müssen, um die Aufmerksamkeit der Netzwerkbesitzer zu erregen.
  • Protokolle, die verheerende Folgen haben (z. B. MemcacheD) und öffentliche Listen erfordern, um Netzwerkbesitzer zu blockieren oder in großen Mengen zu kontaktieren.
  • Denn Shodan hat dich bereits.