AMP Research

Les sous-dossiers de ce référentiel contiendront les éléments suivants :

• Présentation README.md
  • Nom, ports, facteurs d'amplification, informations de mise à jour
  • Exemple de requête <> de réponse avec IP de test (netcat yay !)
  • Documentation officielle potentielle
  • Stratégies d’atténuation potentielles
• La charge utile brute (par exemple pour une utilisation dans zmap) OU le script d'analyse potentiel (C).
• Script d'inondation de socket brut (C) pour analyse afin de créer des atténuations flowspec ou ACL.

• La recherche Honeypot montre une variété de méthodes d'amplification DDoS (SRLabs 2021-07-30) - https://www.srlabs.de/bites/honeypot-research-shows-variety-of-ddos-amplification-methods
• Recommandations d'atténuation des attaques DDoS par réflexion/amplification DHCPDiscover | NETSCOUT (07/07/2021) - https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attack-mitigation
• Serveurs VPN Powerhouse victimes d'abus (2021-02-22) - https://www.zdnet.com/article/powerhouse-vpn-products-can-be-abused-for-large-scale-ddos-attacks/
• Réflexion DVR abusée sur les serveurs Azure R6 et Ark Evolved (2021-02-04) - https://azure.microsoft.com/en-au/blog/azure-ddos-protection-2020-year-in-review/
• L'analyse MS-RDPEUDP a commencé par The Shadowserver Foundation (2021-01-25) - https://www.shadowserver.org/news/scanning-for-accessible-ms-rdpeudp-services/
• Rapports sur le service STUN accessible par Shadowserver Foundation (01/01/2024) - https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/

L'amplification est l'endroit où les demandes de données de socket ou d'application bien formées ou mal formées suscitent une réponse plus grande que les données d'entrée. Cela peut ensuite être abusé pour « amplifier » une demande, généralement au moyen d’attaques par déni de service réfléchi distribué (DRDoS). Cette distinction est généralement regroupée sous la seule bannière de « DDoS » ; Cependant, le premier indique que le trafic ne provient pas directement de robots ou de serveurs uniques, mais est reflété par des services généralement inoffensifs, rendant ainsi généralement inutiles les listes noires et les simples solutions de pare-feu.

La meilleure façon de montrer ce que cela signifie est d'utiliser le protocole réseau MSSQL sur le port TCP/IP UDP 1434 comme exemple.

echo -ne 'x02' | nc -u -q 2 190.xx.xx.xx 1434|xxd -p|wc -c

 629 octets

Cela représente un facteur d'amplification de plus de 23 fois.

echo -ne 'x00x14x00x01x03' |nc -u 89.xx.xx.xx 3283|hexdump

 0000000 0100 ch03 3100 0000 0000 0000 0000 0000
0000010 0000 0000 0000 0000 0000 0000 0000 0000
0000020 0000 0000 0000 0000 0100 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
_
0000050 0000 1200 0000 0000 0000 0000 0000 0000
0000060 0000 0000 0000 0000 0000 0000 0000 0000
0000070 0000 0000 0000 0000 0000 0000 0000 640a
0000080 7461 6861 6565 6472 0034 0000 0000 0000
0000090 0000 0000 0000 0000 0000 0000 0000 0000
_
00000c0 0000 0001 0000 0000 0000 0000 0000 0000
00000d0 0000 0000 0000 9803 0000 0100 18f0 ed98
00000e0 9288 0000 0000 0a00 6400 6100 7400 6100
00000f0 6800 6500 6500 7200 6400 3400 0000 0000
0000100 0000 0000 0000 0000 0000 0000 0000 0000

Scripts C généraux :

gcc -pthread -O2 -o binary file.c

Scripts TCP (nécessite une compilation 32 bits pour éviter les valeurs de retour de fonction de somme de contrôle non valides) :

gcc -m32 -pthread -O2 -o binary file.c

Ce référentiel est là pour aider tout le monde à atténuer les vecteurs d'amplification qui n'ont pas encore été abusés ou qui sont activement abusés avec peu d'informations connexes ou consolidées.

Les listes de réflecteurs sont analysées et fournies au cas par cas ou si nécessaire pour la correction sur Pastebin ici.

• Voici des exemples de cas :
  • Hôtes infectés qui doivent être rapidement ajoutés à une liste noire pour attirer l'attention des propriétaires de réseau.
  • Protocoles dévastateurs (par exemple MemcacheD) et nécessitant des listes publiées pour créer un trou noir ou contacter en masse les propriétaires de réseaux.
  • Parce que Shodan t'a déjà.