AMP Research

Подпапки в этом репозитории будут содержать следующее:

• Обзор README.md
  • Имя, порты, коэффициенты усиления, информация об обновлении
  • Пример запроса <> ответа с тестовым IP (netcat ура!)
  • Потенциальная официальная документация
  • Потенциальные стратегии смягчения последствий
• Необработанные полезные данные (например, для использования в zmap) ИЛИ потенциальный сценарий сканирования (C).
• Необработанный сценарий флуда сокетов (C) для анализа с целью создания спецификаций потока или мер по смягчению последствий ACL.

• Исследование Honeypot показывает разнообразие методов усиления DDoS (SRLabs 30 июля 2021 г.) - https://www.srlabs.de/bites/honeypot-research-shows-variety-of-ddos-amplification-methods
• DHCPDiscover Reflection/Amplification Рекомендации по смягчению последствий DDoS-атак | NETSCOUT (07.07.2021) – https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attack-mitigation
• Злоупотребление VPN-серверами Powerhouse (22 февраля 2021 г.) - https://www.zdnet.com/article/powerhouse-vpn-products-can-be-abused-for-large-scale-ddos-attacks/
• Злоупотребление отражением DVR на серверах Azure R6 и Ark Evolved (04 февраля 2021 г.) — https://azure.microsoft.com/en-au/blog/azure-ddos-protection-2020-year-in-review/
• Сканирование MS-RDPEUDP начато Фондом Shadowserver Foundation (25 января 2021 г.) - https://www.shadowserver.org/news/scanning-for-accessible-ms-rdpeudp-services/
• Доступная отчетность службы STUN Shadowserver Foundation (01 января 2024 г.) — https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/

Усиление — это когда правильно сформированные или неправильно сформированные запросы данных сокета или приложения вызывают ответ, превышающий входные данные. Затем этим можно злоупотребить для «усиления» запроса, обычно посредством атак распределенного отраженного отказа в обслуживании (DRDoS). Это различие обычно объединяется под одним баннером «DDoS»; однако первое указывает на то, что трафик исходит не напрямую от ботов или отдельных серверов, а отражается от обычно безвредных сервисов, что обычно делает бесполезными черные списки и простые решения брандмауэра.

Лучший способ показать, что это означает, — использовать в качестве примера сетевой протокол MSSQL через порт TCP/IP UDP 1434.

echo -ne 'x02' | nc -u -q 2 190.xx.xx.xx 1434|xxd -p|wc -c

 629 байт

Это коэффициент усиления более чем в 23 раза.

echo -ne 'x00x14x00x01x03' |nc -u 89.xx.xx.xx 3283|hexdump

 0000000 0100 ea03 3100 0000 0000 0000 0000 0000
0000010 0000 0000 0000 0000 0000 0000 0000 0000
0000020 0000 0000 0000 0000 0100 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
_
0000050 0000 1200 0000 0000 0000 0000 0000 0000
0000060 0000 0000 0000 0000 0000 0000 0000 0000
0000070 0000 0000 0000 0000 0000 0000 0000 640a
0000080 7461 6861 6565 6472 0034 0000 0000 0000
0000090 0000 0000 0000 0000 0000 0000 0000 0000
_
00000c0 0000 0001 0000 0000 0000 0000 0000 0000
00000d0 0000 0000 0000 9803 0000 0100 18f0 ed98
00000e0 9288 0000 0000 0a00 6400 6100 7400 6100
00000f0 6800 6500 6500 7200 6400 3400 0000 0000
0000100 0000 0000 0000 0000 0000 0000 0000 0000

Общие сценарии C:

gcc -pthread -O2 -o binary file.c

Сценарии TCP (требуется 32-битная компиляция, чтобы избежать неверных возвращаемых значений функции контрольной суммы):

gcc -m32 -pthread -O2 -o binary file.c

Этот репозиторий создан для того, чтобы помочь каждому смягчить последствия векторов амплификации, которыми еще не злоупотребляли или которыми активно злоупотребляют, имея при этом мало связанной или консолидированной информации.

Списки отражателей сканируются и предоставляются в каждом конкретном случае или при необходимости для исправления на Pastebin здесь.

• Примеры случаев включают в себя:
  • Зараженные хосты, которые необходимо быстро добавить в черный список, чтобы привлечь внимание владельцев сети.
  • Протоколы, которые являются разрушительными (например, MemcacheD) и требуют опубликованных списков для блокировки или массового контакта с владельцами сетей.
  • Потому что ты уже есть в Shodan.