首页>CGI源码>其他类别
下载

AMP-研究

外来 UDP/TCP 放大向量、有效负载和缓解措施的研究

此存储库中的子文件夹将包含以下内容:

  • 概述 README.md
    • 名称、端口、放大系数、更新信息
    • 带有测试 IP 的请求 <> 响应示例(netcat 耶!)
    • 潜在的官方文档
    • 潜在的缓解策略
  • 原始有效负载(例如在 zmap 中使用)或潜在的扫描脚本 (C)。
  • 用于分析以构建 flowspec 或 ACL 缓解措施的原始套接字洪水脚本 (C)。

谁引用了这个存储库(荣誉!)

  • 蜜罐研究显示了多种 DDoS 放大方法 (SRLabs 2021-07-30) - https://www.srlabs.de/bites/honeypot-research-shows-variety-of-ddos-amplification-methods
  • DHCPDiscover 反射/放大 DDoS 攻击缓解建议 | NETSCOUT (2021-07-07) - https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attack-mitigation
  • Powerhouse VPN 服务器被滥用 (2021-02-22) - https://www.zdnet.com/article/powerhouse-vpn-products-can-be-abused-for-large-scale-ddos-attacks/
  • 针对 Azure R6 和 Ark Evolved 服务器滥用 DVR 反射 (2021-02-04) - https://azure.microsoft.com/en-au/blog/azure-ddos-protection-2020-year-in-review/
  • Shadowserver 基金会已开始 MS-RDPEUDP 扫描 (2021-01-25) - https://www.shadowserver.org/news/scanning-for-accessible-ms-rdpeudp-services/
  • Shadowserver 基金会可访问 STUN 服务报告 (2024-01-01) - https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/

什么是拒绝服务方面的“放大”?给我一个例子!

放大是指格式正确或格式错误的套接字或应用程序数据请求引发大于输入数据的响应。然后,这可能会被滥用来“放大”请求,通常是通过分布式反射拒绝服务 (DRDoS) 攻击。这种区别通常集中在“DDoS”这一旗帜下;然而,前者表明流量并非直接来自机器人或单个服务器,而是反映在通常良性的服务上,因此通常会使黑名单和简单的防火墙解决方案毫无用处。

展示其含义的最佳方式是使用基于 TCP/IP UDP 端口 1434 的网络协议 MSSQL 作为示例。

示例 UDP 响应大小从1 字节到 MSSQL (Microsoft SQL Server) 侦听器

echo -ne 'x02' | nc -u -q 2 190.xx.xx.xx 1434|xxd -p|wc -c

 629字节

这是超过23倍的放大系数。

从发现探针到 ARD(Apple 远程桌面)侦听器的十六进制响应示例

echo -ne 'x00x14x00x01x03' |nc -u 89.xx.xx.xx 3283|hexdump

 0000000 0100 ea03 3100 0000 0000 0000 0000 0000
0000010 0000 0000 0000 0000 0000 0000 0000 0000
0000020 0000 0000 0000 0000 0100 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
_
0000050 0000 1200 0000 0000 0000 0000 0000 0000
0000060 0000 0000 0000 0000 0000 0000 0000 0000
0000070 0000 0000 0000 0000 0000 0000 0000 640a
0000080 7461 6861 6565 6472 0034 0000 0000 0000
0000090 0000 0000 0000 0000 0000 0000 0000 0000
_
00000c0 0000 0001 0000 0000 0000 0000 0000 0000
00000d0 0000 0000 0000 9803 0000 0100 18f0 ed98
00000e0 9288 0000 0000 0a00 6400 6100 7400 6100
00000f0 6800 6500 6500 7200 6400 3400 0000 0000
0000100 0000 0000 0000 0000 0000 0000 0000 0000

编译此存储库中的 C 代码?

通用 C 脚本: 

gcc -pthread -O2 -o binary file.c

TCP 脚本(需要 32 位编译以避免无效的校验和函数返回值): 

gcc -m32 -pthread -O2 -o binary file.c

脆弱的反射器

此存储库旨在帮助每个人减轻尚未被滥用或正在被积极滥用且几乎没有相关或整合信息的扩增向量。

反射器列表会根据具体情况进行扫描并提供,或者根据需要在此处的 patchbin 上进行修复。

  • 案例示例包括:
    • 需要快速将受感染的主机添加到黑名单中,以引起网络所有者的注意。
    • 具有破坏性的协议(例如 MemcacheD)并需要公开列表来黑洞或批量联系网络所有者。
    • 因为shodan已经拥有你了。
展开
附加信息
相关应用
为您推荐
相关资讯 全部