首頁>CGI源碼>其他類別
下載

AMP-研究

外來 UDP/TCP 放大向量、有效負荷和緩解措施的研究

此儲存庫中的子資料夾將包含以下內容:

  • 概述 README.md
    • 名稱、連接埠、放大係數、更新訊息
    • 帶有測試 IP 的請求 <> 回應範例(netcat 耶!)
    • 潛在的官方文檔
    • 潛在的緩解策略
  • 原始有效負載(例如在 zmap 中使用)或潛在的掃描腳本 (C)。
  • 用於分析以建立 flowspec 或 ACL 緩解措施的原始套接字洪水腳本 (C)。

誰引用了這個存儲庫(榮譽!)

  • 蜜罐研究顯示了多種 DDoS 放大方法 (SRLabs 2021-07-30) - https://www.srlabs.de/bites/honeypot-research-shows-variety-of-ddos-amplification-methods
  • DHCPDiscover 反射/放大 DDoS 攻擊緩解建議 | NETSCOUT (2021-07-07) - https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attack-mitigation
  • Powerhouse VPN 伺服器被濫用 (2021-02-22) - https://www.zdnet.com/article/powerhouse-vpn-products-can-be-abused-for-large-scale-ddos-attacks/
  • 針對 Azure R6 和 Ark Evolved 伺服器濫用 DVR 反射 (2021-02-04) - https://azure.microsoft.com/en-au/blog/azure-ddos-protection-2020-year-in-review/
  • Shadowserver 基金會已開始 MS-RDPEUDP 掃描 (2021-01-25) - https://www.shadowserver.org/news/scanning-for-accessible-ms-rdpeudp-services/
  • Shadowserver 基金會可造訪 STUN 服務報告 (2024-01-01) - https://www.shadowserver.org/what-we-do/network-reporting/accessible-stun-service-report/

什麼是拒絕服務方面的「放大」?給我一個例子!

放大是指格式正確或格式錯誤的套接字或應用程式資料請求引發大於輸入資料的回應。然後,這可能會被濫用來「放大」請求,通常是透過分散式反射來拒絕服務 (DRDoS) 攻擊。這種區別通常集中在“DDoS”這一旗幟下;然而,前者表明流量並非直接來自機器人或單一伺服器,而是反映在通常良性的服務上,因此通常會使黑名單和簡單的防火牆解決方案毫無用處。

展示其意義的最佳方式是使用基於 TCP/IP UDP 連接埠 1434 的網路協定 MSSQL 作為範例。

範例 UDP 回應大小從1 位元組到 MSSQL (Microsoft SQL Server) 偵聽器

echo -ne 'x02' | nc -u -q 2 190.xx.xx.xx 1434|xxd -p|wc -c

 629字節

這是超過23倍的放大係數。

從發現探針到 ARD(Apple 遠端桌面)偵聽器的十六進位回應範例

echo -ne 'x00x14x00x01x03' |nc -u 89.xx.xx.xx 3283|hexdump

 0000000 0100 ea03 3100 0000 0000 0000 0000 0000
0000010 0000 0000 0000 0000 0000 0000 0000 0000
0000020 0000 0000 0000 0000 0100 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
_
0000050 0000 1200 0000 0000 0000 0000 0000 0000
0000060 0000 0000 0000 0000 0000 0000 0000 0000
0000070 0000 0000 0000 0000 0000 0000 0000 640a
0000080 7461 6861 6565 6472 0034 0000 0000 0000
0000090 0000 0000 0000 0000 0000 0000 0000 0000
_
00000c0 0000 0001 0000 0000 0000 0000 0000 0000
00000d0 0000 0000 0000 9803 0000 0100 18f0 ed98
00000e0 9288 0000 0000 0a00 6400 6100 7400 6100
00000f0 6800 6500 6500 7200 6400 3400 0000 0000
0000100 0000 0000 0000 0000 0000 0000 0000 0000

編譯此儲存庫中的 C 程式碼?

通用 C 腳本: 

gcc -pthread -O2 -o binary file.c

TCP 腳本(需要 32 位元編譯以避免無效的校驗和函數傳回值): 

gcc -m32 -pthread -O2 -o binary file.c

脆弱的反射器

此儲存庫旨在幫助每個人減輕尚未被濫用或正在被積極濫用且幾乎沒有相關或整合資訊的擴增向量。

反射器清單會根據具體情況進行掃描並提供,或根據需要在此處的 patchbin 上進行修復。

  • 案例範例包括:
    • 需要快速將受感染的主機添加到黑名單中,以引起網路所有者的注意。
    • 具有破壞性的協定(例如 MemcacheD)並需要公開清單來黑洞或批量聯繫網路所有者。
    • 因為shodan已經擁有你了。
展開
附加信息
相關應用
爲您推薦
相關資訊 全部