某企业遭受DDOS NTP反射攻击问题

发布时间:  2015-11-24 浏览次数:  881 下载次数:  0
问题描述

 某企业门户网站遭受到udp flood 攻击,互联网出口流量被占满,公网用户访问企业服务器非常缓慢,无法使用。

 

告警信息

ATIC设备上显示有大量的UDP Flood攻击告警。

 

处理过程

1、抓包分析攻击流量

通过抓包分析发现,本次攻击是采用的反射攻击,攻击者向互联网上ntp服务器发起请求,但是将源地址设置为该企业门户网站地址,应答包全部反射到该企业门户网站,流量非常大,将互联网入口带宽占满,其他用户访问该门户服务器变得很缓慢。

2.DDOS针对UDP攻击的防御原理

UDP类攻击中的报文源IP和源端口变化频繁,但报文负载一般保持不变或具有规律的变化。防御有效方法主要是采用指纹学习。

当攻击报文负载有特征时,则可以采用动态指纹学习或特征过滤防御。

载荷检查:当UDP流量超过阈值时,会触发载荷检查。如果UDP报文数据段内容完全一样,例如数据段内容都为1,则会被认为是攻击而丢弃报文。

指纹学习:当UDP流量超过阈值时,会触发指纹学习。指纹由Anti-DDoS设备动态学习生成,将攻击报文的一段显著特征学习为指纹后,匹配指纹的报文会被丢弃。动态指纹学习适用于以下类型的UDP Flood攻击。

3、本次攻击情况

本次攻击发现攻击报文的载荷有明显特征的和载荷内容一致的被拦截,其他指纹特征不明显的有部分攻击报文发送到服务器上,通过服务器前抓包可以验证了这种情况。

4、 针对这种攻击的防御方法

针对当前udp flood的反射攻击,可以通过配置过滤器方式进行防护,汇总如下表格,可以在设备侧根据实际服务器提供服务情况,进行部分知名端口的过滤,并适当配置长度以减少对正常服务的影响。

 

UDP-based Amplification Attacks
攻击类型

Bandwidth Amplification Factor
放大倍数

Vulnerable Command
被利用的脆弱命令

protocol

packet len
(可选)

sport

DNS Amplification attacks

28 to 54

Text query

UDP

256

53

Chargen Amplification attack

358.8

Character generation request

UDP

256

19

SNMP Amplification attack

6.3

GetBulk request

UDP

256

161

TFTP Amplification attack

 

read or write request

UDP

256

69

NTP Amplification attack

556.9

monlist query

UDP

256

123

NetBIOS Amplification attack

3.8

Name resolution

UDP

256

137

SSDP Amplification Attack

30.8

SEARCH request

UDP

256

1900

QOTD Amplification Attack

140.3

Quote request

UDP

256

17

Quake Network Protocol Amplification Attack

63.9

Server info exchange

UDP

256

27960

Steam Protocol Amplification Attack

5.5

Server info exchange

UDP

256

27015

过滤器配置:指定源端口,指定防御的目的ip

根因

本次攻击发现攻击报文的载荷有明显特征的和载荷内容一致的被拦截,其他指纹特征不明显的有部分攻击报文发送到服务器上,通过服务器前抓包可以验证了这种情况。

解决方案
通过配置过滤器加强udp flood等反射类攻击的防御。
建议与总结

1、如果运营商有清洗服务,采购运营商提供的服务,在上游路由器直接过滤攻击

2、 如果当前链路运营商未提供清洗服务,会将当前被攻击IP黑洞掉,通过DNS授权服务直接将业务切换到新的I

3、 针对云主机,流量超过规定阈值,就直接黑洞一段时间,比如2小时,然后恢复;流量低于阈值才提供防护服务

4、 常见攻击类型:SYN FloodUDP FloodDNS Query FloodICMP Flood

END