AMP Research

Las subcarpetas de este repositorio contendrán lo siguiente:

• Descripción general README.md
  • Nombre, Puertos, Factores de amplificación, Información de actualización
  • Solicitud <> Ejemplo de respuesta con IP de prueba (netcat ¡yay!)
  • Posible documentación oficial
  • Posibles estrategias de mitigación
• La carga útil sin procesar (por ejemplo, para usar en zmap) O el posible script de escaneo (C).
• Script de inundación de socket sin formato (C) para análisis para crear especificaciones de flujo o mitigaciones de ACL.

• La investigación de Honeypot muestra una variedad de métodos de amplificación DDoS (SRLabs 2021-07-30) - https://www.srlabs.de/bites/honeypot-research-shows-variety-of-ddos-amplification-methods
• DHCPDiscover Recomendaciones de mitigación de ataques DDoS de reflexión/amplificación | NETSCOUT (07/07/2021) - https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attack-mitigation
• Se abusa de los servidores Powerhouse VPN (22/02/2021): https://www.zdnet.com/article/powerhouse-vpn-products-can-be-abused-for-large-scale-ddos-attacks/
• Reflexión de DVR abusada contra servidores Azure R6 y Ark Evolved (2021-02-04) - https://azure.microsoft.com/en-au/blog/azure-ddos-protection-2020-year-in-review/
• MS-RDPEUDP El escaneo de MS-RDPEUDP ha comenzado por parte de The Shadowserver Foundation (25 de enero de 2021): https://www.shadowserver.org/news/scanning-for-accessible-ms-rdpeudp-services/
• Informes de servicios STUN accesibles de Shadowserver Foundation (01/01/2024): https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/

La amplificación se produce cuando las solicitudes de datos de aplicaciones o sockets bien formados o mal formados provocan una respuesta mayor que los datos de entrada. Luego se puede abusar de esto para "amplificar" una solicitud, generalmente mediante ataques de denegación de servicio reflejada distribuida (DRDoS). Esta distinción suele agruparse bajo el lema "DDoS"; sin embargo, el primero indica que el tráfico no proviene directamente de bots o servidores individuales, sino que se refleja en servicios generalmente benignos, por lo que las listas negras y las soluciones simples de firewall son inútiles.

La mejor manera de mostrar lo que esto significa es utilizar el protocolo de red MSSQL sobre el puerto TCP/IP UDP 1434 como ejemplo.

echo -ne 'x02' | nc -u -q 2 190.xx.xx.xx 1434|xxd -p|wc -c

 629 bytes

Eso es un factor de amplificación de más de 23 veces.

echo -ne 'x00x14x00x01x03' |nc -u 89.xx.xx.xx 3283|hexdump

 0000000 0100 ea03 3100 0000 0000 0000 0000 0000
0000010 0000 0000 0000 0000 0000 0000 0000 0000
0000020 0000 0000 0000 0000 0100 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
_
0000050 0000 1200 0000 0000 0000 0000 0000 0000
0000060 0000 0000 0000 0000 0000 0000 0000 0000
0000070 0000 0000 0000 0000 0000 0000 0000 640a
0000080 7461 6861 6565 6472 0034 0000 0000 0000
0000090 0000 0000 0000 0000 0000 0000 0000 0000
_
00000c0 0000 0001 0000 0000 0000 0000 0000 0000
00000d0 0000 0000 0000 9803 0000 0100 18f0 ed98
00000e0 9288 0000 0000 0a00 6400 6100 7400 6100
00000f0 6800 6500 6500 7200 6400 3400 0000 0000
0000100 0000 0000 0000 0000 0000 0000 0000 0000

Guiones generales de C:

gcc -pthread -O2 -o binary file.c

Scripts TCP (requiere compilación de 32 bits para evitar valores de retorno de la función de suma de comprobación no válidos):

gcc -m32 -pthread -O2 -o binary file.c

Este repositorio está aquí para ayudar a todos a mitigar los vectores de amplificación de los que aún no se ha abusado o de los que se está abusando activamente con poca información relacionada o consolidada.

Las listas de reflectores se escanean y se proporcionan caso por caso o según sea necesario para la corrección en Pastebin aquí.

• Ejemplos de casos incluyen:
  • Hosts infectados que deben agregarse rápidamente a una lista negra para llamar la atención de los propietarios de la red.
  • Protocolos que son devastadores (por ejemplo, MemcacheD) y requieren listas publicadas para ocultar o contactar masivamente a los propietarios de redes.
  • Porque shodan ya te tiene.