AMP Research

Subfolder dalam repositori ini akan berisi yang berikut:

• Ikhtisar README.md
  • Nama, Port, Faktor Amplifikasi, Info Update
  • Permintaan <> Contoh Respon dengan IP pengujian (netcat yay!)
  • Dokumentasi resmi potensial
  • Strategi mitigasi potensial
• Payload mentah (misalnya untuk digunakan dalam zmap) ATAU skrip pemindaian potensial (C).
• Skrip banjir soket mentah (C) untuk analisis guna membangun spesifikasi arus atau mitigasi ACL.

• Penelitian Honeypot menunjukkan berbagai metode amplifikasi DDoS (SRLabs 30-07-2021) - https://www.srlabs.de/bites/honeypot-research-shows-variety-of-ddos-amplification-methods
• DHCPDtemukan Refleksi/Amplifikasi Rekomendasi Mitigasi Serangan DDoS | NETSCOUT (07-07-2021) - https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attach-mitigation
• Server VPN Powerhouse disalahgunakan (22-02-2021) - https://www.zdnet.com/article/powerhouse-vpn-products-can-be-abused-for-large-scale-ddos-actions/
• Refleksi DVR disalahgunakan terhadap server Azure R6 dan Ark Evolved (04-02-2021) - https://azure.microsoft.com/en-au/blog/azure-ddos-protection-2020-year-in-review/
• Pemindaian MS-RDPEUDP telah dimulai oleh The Shadowserver Foundation (25-01-2021) - https://www.shadowserver.org/news/scanning-for-accessible-ms-rdpeudp-services/
• Pelaporan Layanan STUN yang Dapat Diakses Shadowserver Foundation (01-01-2024) - https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/

Amplifikasi adalah saat permintaan data aplikasi atau soket yang terbentuk dengan baik atau salah menghasilkan respons yang lebih besar daripada data masukan. Hal ini kemudian dapat disalahgunakan untuk "memperkuat" permintaan, biasanya melalui serangan Distributed Reflected Denial of Service (DRDoS). Perbedaan ini biasanya disatukan di bawah satu bendera "DDoS"; namun yang pertama menunjukkan bahwa lalu lintas tidak secara langsung berasal dari bot atau server tunggal namun tercermin dari layanan yang biasanya tidak berbahaya, sehingga biasanya menjadikan daftar hitam dan solusi firewall sederhana tidak berguna.

Cara terbaik untuk menunjukkan artinya adalah dengan menggunakan protokol jaringan MSSQL melalui TCP/IP UDP port 1434 sebagai contoh.

echo -ne 'x02' | nc -u -q 2 190.xx.xx.xx 1434|xxd -p|wc -c

 629 byte

Itu merupakan faktor amplifikasi lebih dari 23 kali.

echo -ne 'x00x14x00x01x03' |nc -u 89.xx.xx.xx 3283|hexdump

 0000000 0100 ea03 3100 0000 0000 0000 0000 0000
0000010 0000 0000 0000 0000 0000 0000 0000 0000
0000020 0000 0000 0000 0000 0100 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
_
0000050 0000 1200 0000 0000 0000 0000 0000 0000
0000060 0000 0000 0000 0000 0000 0000 0000 0000
0000070 0000 0000 0000 0000 0000 0000 0000 640a
0000080 7461 6861 6565 6472 0034 0000 0000 0000
0000090 0000 0000 0000 0000 0000 0000 0000 0000
_
00000c0 0000 0001 0000 0000 0000 0000 0000 0000
00000d0 0000 0000 0000 9803 0000 0100 18f0 ed98
00000e0 9288 0000 0000 0a00 6400 6100 7400 6100
00000f0 6800 6500 6500 7200 6400 3400 0000 0000
0000100 0000 0000 0000 0000 0000 0000 0000 0000

Skrip C umum:

gcc -pthread -O2 -o binary file.c

Skrip TCP (memerlukan kompilasi 32bit untuk menghindari nilai pengembalian fungsi checksum yang tidak valid):

gcc -m32 -pthread -O2 -o binary file.c

Repo ini hadir untuk membantu semua orang memitigasi vektor amplifikasi yang belum disalahgunakan atau sedang disalahgunakan secara aktif dengan sedikit informasi terkait atau konsolidasi.

Daftar reflektor dipindai dan disediakan berdasarkan kasus per kasus atau jika diperlukan untuk remediasi pada pastebin di sini.

• Contoh kasusnya antara lain:
  • Host yang terinfeksi perlu segera ditambahkan ke daftar hitam untuk mendapatkan perhatian pemilik jaringan.
  • Protokol yang merusak (misalnya MemcacheD) dan memerlukan daftar yang dipublikasikan ke lubang hitam atau menghubungi pemilik jaringan secara massal.
  • Karena shodan sudah memilikimu.