攻擊者利用用戶裝機量巨大的BT(BitTorrent)軟件實施反射型DDoS攻擊，攻擊者只需要極小的帶寬，就能通過“反射”放大50-120倍攻擊流量，輕松“摧毀”大型網(wǎng)站。

利用BT軟件進行的DoS攻擊

在BT協(xié)議中我們研究發(fā)現(xiàn)，其中存在分布式反射DoS攻擊(DRDoS)攻擊漏洞，因為數(shù)以百萬計的人每天都會用這種協(xié)議在互聯(lián)網(wǎng)上交換下載文件。上述幾款應(yīng)用的研究結(jié)果表明，它們是很適合用來做分布式反射DoS攻擊的。這種攻擊在一個BT用戶端只需使用極少的帶寬，發(fā)送畸形請求給其他BT用戶后，就能四兩撥千斤似的高效率實施攻擊。

其他使用BT軟件的計算機接受了攻擊者精心構(gòu)造的攻擊請求后，會“反射”打向第三方受害人50-120倍的流量。這種攻擊的關(guān)鍵是BT的用戶數(shù)據(jù)報協(xié)議，它本身并沒有提供任何機制來防止偽造IP地址。攻擊者可以將自己的IP地址替換成受害人的地址，結(jié)果就造成了受害人莫名其妙地被洪水DoS攻擊。

第九屆USENIX黑客技術(shù)研討會的研究人員在報告里寫道：

“攻擊者發(fā)起分布式反射DoS攻擊時，并不會直接將流量發(fā)送給受害人。相反，攻擊者會利用網(wǎng)絡(luò)協(xié)議中的IP欺騙，通過其他人反饋流量給受害者。這種攻擊可能會有一個或多個源節(jié)點。”

反射性DoS技術(shù)

反射型DoS攻擊可能會有三個主要的優(yōu)勢：

1.隱藏了攻擊者的身份

2.可以實現(xiàn)分布式攻擊，即流量來源于多個IP、多臺計算機

3.可以放大原始攻擊數(shù)據(jù)包，某些情況下甚至高達120倍

DoS攻擊技術(shù)并不是什么新技術(shù)，所謂Smurf攻擊和DNS放大攻擊，就是分別利用路由和域名系統(tǒng)服務(wù)器反饋流量，放大了火力來攻擊某個不幸的目標。

然而，近年來存在這些漏洞的服務(wù)器數(shù)量已經(jīng)下降，這類攻擊漸漸變得沒有那么普遍，雖然DNS放大攻擊依然是個令人頭疼的問題。在去年，針對游戲網(wǎng)站的攻擊者利用了一種新技術(shù)，利用了運行網(wǎng)絡(luò)時間協(xié)議的時間同步服務(wù)器進行DoS放大攻擊。在2014年初統(tǒng)計時，這種手法的使用效果破了紀錄，攻擊達到了每秒400千兆數(shù)據(jù)。

把DoS“放大”攻擊技術(shù)利用在用戶裝機量大的程序上時，無疑是最有效的——比如本文中的BT下載軟件。研究人員表示，他們在網(wǎng)絡(luò)上掃描發(fā)現(xiàn)全球約210萬個獨立IP使用了BT軟件。除此之外，研究人員對BT協(xié)議提出了部分修復(fù)建議，可以用來防止IP欺騙和放大攻擊。