AMP Research

As subpastas neste repositório conterão o seguinte:

• Visão geral README.md
  • Nome, portas, fatores de amplificação, informações de atualização
  • Exemplo de solicitação <> resposta com IP de teste (netcat yay!)
  • Documentação oficial potencial
  • Potenciais estratégias de mitigação
• A carga útil bruta (por exemplo, para uso no zmap) OU script de varredura potencial (C).
• Script de inundação de soquete bruto (C) para análise para construir mitigações de flowspec ou ACL.

• A pesquisa Honeypot mostra uma variedade de métodos de amplificação DDoS (SRLabs 2021-07-30) - https://www.srlabs.de/bites/honeypot-research-shows-variety-of-ddos-amplification-methods
• DHCPDescubra recomendações de mitigação de ataques DDoS de reflexão/amplificação | NETSCOUT (07/07/2021) - https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attack-mitigation
• Servidores VPN Powerhouse sendo abusados ​​(22/02/2021) - https://www.zdnet.com/article/powerhouse-vpn-products-can-be-abused-for-large-scale-ddos-attacks/
• Reflexão de DVR abusada contra servidores Azure R6 e Ark Evolved (2021-02-04) - https://azure.microsoft.com/en-au/blog/azure-ddos-protection-2020-year-in-review/
• A digitalização MS-RDPEUDP começou pela The Shadowserver Foundation (2021-01-25) - https://www.shadowserver.org/news/scanning-for-accessible-ms-rdpeudp-services/
• Relatórios de serviços STUN acessíveis da Shadowserver Foundation (01/01/2024) - https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/

A amplificação ocorre quando solicitações de dados de aplicativos ou soquetes bem formados ou mal formados provocam uma resposta maior do que os dados de entrada. Isso pode então ser abusado para "amplificar" uma solicitação, geralmente por meio de ataques de negação de serviço refletida distribuída (DRDoS). Essa distinção geralmente é agrupada sob a bandeira “DDoS”; no entanto, o primeiro indica que o tráfego não vem diretamente de bots ou servidores únicos, mas é refletido em serviços geralmente benignos, tornando assim inúteis as listas negras e soluções simples de firewall.

A melhor maneira de mostrar o que isso significa é usar o protocolo de rede MSSQL sobre TCP/IP porta UDP 1434 como exemplo.

echo -ne 'x02' | nc -u -q 2 190.xx.xx.xx 1434|xxd -p|wc -c

 629 bytes

Isso é um fator de amplificação de mais de 23 vezes.

echo -ne 'x00x14x00x01x03' |nc -u 89.xx.xx.xx 3283|hexdump

 0000000 0100 ea03 3100 0000 0000 0000 0000 0000
0000010 0000 0000 0000 0000 0000 0000 0000 0000
0000020 0000 0000 0000 0000 0100 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
_
0000050 0000 1200 0000 0000 0000 0000 0000 0000
0000060 0000 0000 0000 0000 0000 0000 0000 0000
0000070 0000 0000 0000 0000 0000 0000 0000 640a
0000080 7461 6861 6565 6472 0034 0000 0000 0000
0000090 0000 0000 0000 0000 0000 0000 0000 0000
_
00000c0 0000 0001 0000 0000 0000 0000 0000 0000
00000d0 0000 0000 0000 9803 0000 0100 18f0 ed98
00000e0 9288 0000 0000 0a00 6400 6100 7400 6100
00000f0 6800 6500 6500 7200 6400 3400 0000 0000
0000100 0000 0000 0000 0000 0000 0000 0000 0000

Scripts C gerais:

gcc -pthread -O2 -o binary file.c

Scripts TCP (requer compilação de 32 bits para evitar valores de retorno de função de soma de verificação inválidos):

gcc -m32 -pthread -O2 -o binary file.c

Este repositório está aqui para ajudar todos a mitigar vetores de amplificação que ainda não foram abusados ​​ou que estão sendo abusados ​​ativamente com poucas informações relacionadas ou consolidadas.

As listas de refletores são digitalizadas e fornecidas caso a caso ou conforme necessário para correção no pastebin aqui.

• Exemplos de casos incluem:
  • Hosts infectados que precisam ser adicionados rapidamente a uma lista negra para chamar a atenção dos proprietários da rede.
  • Protocolos que são devastadores (por exemplo, MemcacheD) e exigem listas divulgadas para ocultar ou contatar proprietários de redes em massa.
  • Porque Shodan já tem você.