AMP Research

โฟลเดอร์ย่อยในที่เก็บนี้จะประกอบด้วยสิ่งต่อไปนี้:

• ภาพรวม README.md
  • ชื่อ พอร์ต ปัจจัยการขยาย ข้อมูลการอัพเดต
  • คำขอ <> ตัวอย่างการตอบสนองพร้อมทดสอบ IP (netcat เย้!)
  • เอกสารอย่างเป็นทางการที่อาจเกิดขึ้น
  • กลยุทธ์การบรรเทาผลกระทบที่อาจเกิดขึ้น
• เพย์โหลดดิบ (เช่น สำหรับใช้ใน zmap) หรือสคริปต์การสแกนที่เป็นไปได้ (C)
• Raw socket Flood script (C) สำหรับการวิเคราะห์เพื่อสร้างโฟลว์สเปคหรือการบรรเทา ACL

• การวิจัยของ Honeypot แสดงให้เห็นวิธีการขยาย DDoS ที่หลากหลาย (SRLabs 30-07-2021) - https://www.srlabs.de/bites/honeypot-research-shows-variety-of-ddos-amplification-methods
• DHCPDiscover ข้อแนะนำในการลดการโจมตี DDoS แบบสะท้อน/ขยาย NETSCOUT (07-07-2021) - https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attack-mitigation
• เซิร์ฟเวอร์ VPN ของ Powerhouse ถูกใช้งานในทางที่ผิด (22-02-2021) - https://www.zdnet.com/article/powerhouse-vpn-products-can-be-abused-for-large-scale-ddos-attacks/
• การสะท้อน DVR ถูกละเมิดกับเซิร์ฟเวอร์ Azure R6 และ Ark Evolved (2021-02-04) - https://azure.microsoft.com/en-au/blog/azure-ddos-protection-2020-year-in-review/
• การสแกน MS-RDPEUDP ได้เริ่มขึ้นแล้วโดยมูลนิธิ Shadowserver (25-01-2564) - https://www.shadowserver.org/news/scanning-for-accessible-ms-rdpeudp-services/
• การรายงานบริการ STUN ที่สามารถเข้าถึงได้ของ Shadowserver Foundation (2024-01-01) - https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/

การขยายสัญญาณคือจุดที่ซ็อกเก็ตหรือข้อมูลแอปพลิเคชันที่มีรูปแบบดีหรือผิดรูปแบบทำให้เกิดการตอบสนองที่ใหญ่กว่าข้อมูลอินพุต จากนั้นสามารถใช้เพื่อ "ขยาย" คำขอในทางที่ผิด โดยปกติแล้วจะใช้วิธีการโจมตี Distributed Reflected Denial of Service (DRDoS) ความแตกต่างนี้มักจะรวมอยู่ในธงเดียวของ "DDoS"; อย่างไรก็ตาม อย่างแรกระบุว่าการรับส่งข้อมูลไม่ได้มาจากบอทหรือเซิร์ฟเวอร์เดี่ยวโดยตรง แต่สะท้อนออกมาจากบริการที่ไม่เป็นอันตราย โดยทั่วไปแล้วจะทำให้บัญชีดำและโซลูชันไฟร์วอลล์ธรรมดาไร้ประโยชน์

วิธีที่ดีที่สุดในการแสดงว่าสิ่งนี้หมายถึงอะไรคือการใช้โปรโตคอลเครือข่าย MSSQL ผ่านพอร์ต TCP/IP UDP 1434 เป็นตัวอย่าง

echo -ne 'x02' | nc -u -q 2 190.xx.xx.xx 1434|xxd -p|wc -c

 629 ไบต์

นั่นคือปัจจัยการขยายสัญญาณมากกว่า 23 เท่า

echo -ne 'x00x14x00x01x03' |nc -u 89.xx.xx.xx 3283|hexdump

 0000000 0100 ea03 3100 0000 0000 0000 0000 0000
0000010 0000 0000 0000 0000 0000 0000 0000 0000
0000020 0000 0000 0000 0000 0100 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
-
0000050 0000 1200 0000 0000 0000 0000 0000 0000
0000060 0000 0000 0000 0000 0000 0000 0000 0000
0000070 0000 0000 0000 0000 0000 0000 0000 640a
0000080 7461 6861 6565 6472 0034 0000 0000 0000
0000090 0000 0000 0000 0000 0000 0000 0000 0000
-
00000c0 0000 0001 0000 0000 0000 0000 0000 0000
00000d0 0000 0000 0000 9803 0000 0100 18f0 ed98
00000e0 9288 0000 0000 0a00 6400 6100 7400 6100
00000f0 6800 6500 6500 7200 6400 3400 0000 0000
0000100 0000 0000 0000 0000 0000 0000 0000 0000

สคริปต์ C ทั่วไป:

gcc -pthread -O2 -o binary file.c

สคริปต์ TCP (ต้องใช้การคอมไพล์ 32 บิตเพื่อหลีกเลี่ยงค่าส่งคืนฟังก์ชันเช็คซัมที่ไม่ถูกต้อง):

gcc -m32 -pthread -O2 -o binary file.c

การซื้อคืนนี้มีไว้เพื่อช่วยเหลือทุกคนในการลดเวกเตอร์การขยายสัญญาณที่ยังไม่ได้ถูกนำไปใช้ในทางที่ผิดหรือถูกนำไปใช้ในทางที่ผิดโดยอาศัยข้อมูลที่เกี่ยวข้องหรือข้อมูลรวมเพียงเล็กน้อย

รายการตัวสะท้อนแสงจะถูกสแกนและจัดเตรียมไว้เป็นกรณีๆ ไป หรือตามที่จำเป็นสำหรับการแก้ไขเพสบินที่นี่

• ตัวอย่างของกรณีได้แก่:
  • โฮสต์ที่ติดไวรัสซึ่งจำเป็นต้องเพิ่มลงในบัญชีดำอย่างรวดเร็วเพื่อให้ได้รับความสนใจจากเจ้าของเครือข่าย
  • โปรโตคอลที่สร้างความเสียหาย (เช่น MemcacheD) และต้องมีรายชื่อที่เผยแพร่ไปยัง blackhole หรือเจ้าของเครือข่ายที่ติดต่อจำนวนมาก
  • เพราะโชดันมีคุณอยู่แล้ว