ホーム>CGIソースコード>その他のカテゴリー
ダウンロード

AMPリサーチ

エキゾチックな UDP/TCP 増幅ベクトル、ペイロード、および緩和策に関する研究

このリポジトリ内のサブフォルダーには次のものが含まれます。

  • 概要 README.md
    • 名前、ポート、増幅率、アップデート情報
    • テスト IP を使用したリクエスト <> レスポンスの例 (netcat yay!)
    • 潜在的な公式ドキュメント
    • 潜在的な緩和戦略
  • 生のペイロード (zmap で使用するためのものなど) または潜在的なスキャン スクリプト (C)。
  • flowspec または ACL 緩和策を構築するための分析用の生のソケット フラッド スクリプト (C)。

このリポジトリを参照したのは誰ですか (称賛!)

  • ハニーポットの研究はさまざまな DDoS 増幅手法を示しています (SRLabs 2021-07-30) - https://www.srlabs.de/bites/honeypot-research-shows-variety-of-ddos-amplification-methods
  • DHCPDiscover リフレクション/増幅 DDoS 攻撃軽減に関する推奨事項 | NETSCOUT (2021-07-07) - https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos- Attack-mitigation
  • Powerhouse VPN サーバーが悪用される (2021-02-22) - https://www.zdnet.com/article/powerhouse-vpn-products-can-be-abused-for-large-scale-ddos-attachs/
  • Azure R6 および Ark Evolved サーバーに対して DVR リフレクションが悪用される (2021-02-04) - https://azure.microsoft.com/en-au/blog/azure-ddos-protection-2020-year-in-review/
  • MS-RDPEUDP スキャンが Shadowserver Foundation によって開始されました (2021-01-25) - https://www.shadowserver.org/news/scanning-for-accessible-ms-rdpeudp-services/
  • Shadowserver Foundation のアクセス可能な STUN サービス レポート (2024-01-01) - https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/

サービス妨害に関する「増幅」とは何ですか?例をあげてください!

増幅とは、適切な形式または不正な形式のソケットまたはアプリケーションのデータ要求が、入力データよりも大きな応答を引き出すことです。これは、通常、分散反射型サービス拒否 (DRDoS) 攻撃によって、リクエストを「増幅」するために悪用される可能性があります。この区別は通常、「DDoS」という 1 つの旗の下にまとめられます。ただし、前者は、トラフィックがボットや単一のサーバーから直接来ているのではなく、通常は無害なサービスから反射されているため、通常はブラックリストや単純なファイアウォール ソリューションが役に立たないことを示しています。

これが何を意味するかを示す最良の方法は、例として TCP/IP UDP ポート 1434 上のネットワーク プロトコル MSSQL を使用することです。

MSSQL (Microsoft SQL Server) リスナーへの UDP 応答サイズの例(1 バイト)

echo -ne 'x02' | nc -u -q 2 190.xx.xx.xx 1434|xxd -p|wc -c

 629バイト

これは23倍以上の増幅率です。

検出プローブから ARD (Apple Remote Desktop) リスナーへの 16 進応答の例

echo -ne 'x00x14x00x01x03' |nc -u 89.xx.xx.xx 3283|hexdump

 0000000 0100 ea03 3100 0000 0000 0000 0000 0000
0000010 0000 0000 0000 0000 0000 0000 0000 0000
0000020 0000 0000 0000 0000 0100 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
_
0000050 0000 1200 0000 0000 0000 0000 0000 0000
0000060 0000 0000 0000 0000 0000 0000 0000 0000
0000070 0000 0000 0000 0000 0000 0000 0000 640a
0000080 7461 6861 6565 6472 0034 0000 0000 0000
0000090 0000 0000 0000 0000 0000 0000 0000 0000
_
00000c0 0000 0001 0000 0000 0000 0000 0000 0000
00000d0 0000 0000 0000 9803 0000 0100 18f0 ed98
00000e0 9288 0000 0000 0a00 6400 6100 7400 6100
00000f0 6800 6500 6500 7200 6400 3400 0000 0000
0000100 0000 0000 0000 0000 0000 0000 0000 0000

このリポジトリで C コードをコンパイルしますか?

一般的な C スクリプト: 

gcc -pthread -O2 -o binary file.c

TCP スクリプト (無効なチェックサム関数の戻り値を避けるために 32 ビットのコンパイルが必要): 

gcc -m32 -pthread -O2 -o binary file.c

脆弱な反射板

このリポジトリは、関連情報や統合情報がほとんどなく、まだ悪用されていない、または積極的に悪用されている増幅ベクターを誰もが軽減できるようにするためにここにあります。

リフレクターのリストはスキャンされ、ケースバイケースで、または修復の必要に応じてここのペーストビンに提供されます。

  • ケースの例としては次のようなものがあります。
    • 感染したホストは、ネットワーク所有者の注意を引くために、すぐにブラックリストに追加する必要があります。
    • 壊滅的であり、ブラックホール化またはネットワーク所有者への一括連絡のために公開されたリストを必要とするプロトコル (MemcacheD など)。
    • 初段はすでにあなたを持っているからです。
拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて