AMP Research 다운로드 - AMP Research 소스 코드 다운로드

AMP Research

기타 카테고리

1.0.0

다운로드

AMP-연구

이국적인 UDP/TCP 증폭 벡터, 페이로드 및 완화에 대한 연구

이 저장소의 하위 폴더에는 다음이 포함됩니다.

개요 README.md
- 이름, 포트, 증폭 요소, 업데이트 정보
- 테스트 IP를 사용한 요청 <> 응답 예(netcat yay!)
- 잠재적인 공식 문서
- 잠재적 완화 전략
원시 페이로드(예: zmap에서 사용) 또는 잠재적인 스캐닝 스크립트(C).
flowspec 또는 ACL 완화를 구축하기 위한 분석을 위한 원시 소켓 플러드 스크립트(C).

이 저장소를 참조한 사람(찬사!)

허니팟 연구에서는 다양한 DDoS 증폭 방법을 보여줍니다(SRLabs 2021-07-30) - https://www.srlabs.de/bites/honeypot-research-shows-variety-of-ddos-amplification-methods
DHCPDiscover 반사/증폭 DDoS 공격 완화 권장 사항 | NETSCOUT(2021-07-07) - https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attack-mitigation
악용되는 Powerhouse VPN 서버(2021-02-22) - https://www.zdnet.com/article/powerhouse-vpn-products-can-be-abused-for-large-scale-ddos-attacks/
Azure R6 및 Ark Evolved 서버에 대한 DVR 반사 악용(2021-02-04) - https://azure.microsoft.com/en-au/blog/azure-ddos-protection-2020-year-in-review/
The Shadowserver Foundation에서 MS-RDPEUDP 스캔을 시작했습니다(2021-01-25) - https://www.shadowserver.org/news/scanning-for-accessible-ms-rdpeudp-services/
Shadowserver Foundation 액세스 가능 STUN 서비스 보고(2024-01-01) - https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/

서비스 거부와 관련된 "증폭"이란 무엇입니까? 예를 들어보세요!

증폭은 올바른 형식 또는 잘못된 형식의 소켓 또는 애플리케이션 데이터 요청이 입력 데이터보다 큰 응답을 이끌어내는 곳입니다. 그런 다음 일반적으로 DRDoS(Distributed Reflected Denial of Service) 공격을 통해 요청을 "증폭"하는 데 악용될 수 있습니다. 이러한 구별은 일반적으로 "DDoS"라는 하나의 배너 아래에 집중되어 있습니다. 그러나 전자는 트래픽이 봇이나 단일 서버에서 직접 발생하지 않고 일반적으로 무해한 서비스에서 반사되어 일반적으로 블랙리스트와 간단한 방화벽 솔루션을 쓸모 없게 만든다는 것을 나타냅니다.

이것이 의미하는 바를 보여주는 가장 좋은 방법은 TCP/IP UDP 포트 1434를 통한 네트워크 프로토콜 MSSQL을 예로 사용하는 것입니다.

1바이트 에서 MSSQL(Microsoft SQL Server) 리스너에 대한 UDP 응답 크기의 예

echo -ne 'x02' | nc -u -q 2 190.xx.xx.xx 1434|xxd -p|wc -c
 629바이트

이는 23 배가 넘는 증폭 요소입니다.

디스커버리 프로브에서 ARD(Apple Remote Desktop) 수신기로의 16진수 응답 예

echo -ne 'x00x14x00x01x03' |nc -u 89.xx.xx.xx 3283|hexdump

 0000000 0100 ea03 3100 0000 0000 0000 0000 0000
0000010 0000 0000 0000 0000 0000 0000 0000 0000
0000020 0000 0000 0000 0000 0100 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
_
0000050 0000 1200 0000 0000 0000 0000 0000 0000
0000060 0000 0000 0000 0000 0000 0000 0000 0000
0000070 0000 0000 0000 0000 0000 0000 0000 640a
0000080 7461 6861 6565 6472 0034 0000 0000 0000
0000090 0000 0000 0000 0000 0000 0000 0000 0000
_
00000c0 0000 0001 0000 0000 0000 0000 0000 0000
00000d0 0000 0000 0000 9803 0000 0100 18f0 ed98
00000e0 9288 0000 0000 0a00 6400 6100 7400 6100
00000f0 6800 6500 6500 7200 6400 3400 0000 0000
0000100 0000 0000 0000 0000 0000 0000 0000 0000

이 저장소에서 C 코드를 컴파일하시나요?

일반 C 스크립트:

gcc -pthread -O2 -o binary file.c

TCP 스크립트(잘못된 체크섬 함수 반환 값을 방지하려면 32비트 컴파일 필요):

gcc -m32 -pthread -O2 -o binary file.c

취약한 반사경

이 저장소는 관련 정보나 통합 정보가 거의 없이 아직 남용되지 않았거나 적극적으로 남용되고 있는 증폭 벡터를 모든 사람이 완화할 수 있도록 돕기 위해 마련되었습니다.

반사판 목록은 사례별로 또는 여기에서 페이스트빈 교정에 필요한 경우 스캔되어 제공됩니다.

사례의 예는 다음과 같습니다.
- 네트워크 소유자의 주의를 끌기 위해 블랙리스트에 신속하게 추가해야 하는 감염된 호스트.
- 파괴적이며(예: MemcacheD) 블랙홀에 대한 공개 목록이 필요하거나 네트워크 소유자에게 대량으로 연락해야 하는 프로토콜입니다.
- 쇼단은 이미 당신을 갖고 있으니까요.

확장하다

추가 정보