之前我們?cè)鴪?bào)道過，BT種子協(xié)議家族漏洞可用作反射分布式拒絕服務(wù)攻擊(DRDoS attacks)。此種攻擊方式并非主流，以公開的論文看來效果堪比DNS，而NTP攻擊則更勝一籌。

0×00 背景

攻擊者可以利用BT種子協(xié)議(微傳輸協(xié)議[uTP]，分布hash平臺(tái)[DHT]，消息流加密[MSE]，BT種子同步[BTSync])來反射放大結(jié)點(diǎn)間傳輸量。

實(shí)驗(yàn)顯示，攻擊者可以利用BT結(jié)點(diǎn)將一個(gè)包放大50倍，如果是BTsync將達(dá)到120倍。另外，我們發(fā)現(xiàn)最流行的BT流客戶端正是最脆弱的，比如uTorrent、Mainline、Vuze等。

公開DNS解析和NTP協(xié)議MONLIST命令攻擊，兩種攻擊方法依靠其協(xié)議的廣泛應(yīng)用，影響范圍不言而喻。

混合放大，利用通用協(xié)議的攻擊方式很穩(wěn)定，通過標(biāo)準(zhǔn)的結(jié)點(diǎn)發(fā)現(xiàn)機(jī)制很快找到放大點(diǎn)。由于其利用的動(dòng)態(tài)端口范圍和握手加密，攻擊不會(huì)被常規(guī)防火墻發(fā)現(xiàn)，只有進(jìn)行深度的包檢查才能發(fā)現(xiàn)。

0×01 什么是DRDoS攻擊

攻擊者不把通信包直接發(fā)給受害者，而是發(fā)給放大器(amplifiers)然后反射給受害者。攻擊者利用了網(wǎng)絡(luò)協(xié)議漏洞進(jìn)行IP欺騙?？梢杂梢粋€(gè)或多個(gè)攻擊結(jié)點(diǎn)開始，下圖簡單勾畫出了DRDoS的攻擊模型：

1、P點(diǎn)在攻擊前確認(rèn)放大器的位置，這取決于攻擊者利用的協(xié)議，強(qiáng)大的掃描工具比如 ZMap可以幫助確認(rèn)可用放大器。這步是以后步驟的基礎(chǔ)，保證以后的攻擊效率;

2、接著發(fā)送小的Ba 給放大器PA，攻擊者偽造包源地址是PV的IP地址，然后PA反饋一個(gè)大的包Bv給PV。

BT流是今天世界最常用的P2P協(xié)議，協(xié)議的新穎之處在于解決了free riding problem 和 last piece problem 。為了克服第一個(gè)困難，BT流應(yīng)用了一個(gè)獎(jiǎng)賞機(jī)制稱為窒息算法導(dǎo)致了tit-for-tat-ish 分享方法。BT流通過稀有片優(yōu)先算法解決了第二個(gè)問題。

0×02 UTP協(xié)議攻擊

最初，TCP是握手和節(jié)點(diǎn)通信的默認(rèn)協(xié)議。TCP在P2P環(huán)境有很多優(yōu)點(diǎn)，它分布了可用帶寬給每個(gè)連接點(diǎn)，通常得到比其他應(yīng)用更多的帶寬。因此，BT流在后臺(tái)運(yùn)行，會(huì)被前段的通信結(jié)束(例如web 和郵件)，所以BT流發(fā)明了新的傳輸協(xié)議UTP。

UTP采用了TCP的一些想法，以滑動(dòng)窗口控制流，按順序校驗(yàn)信息的完整性，握手建立連接。不同于TCP三次握手，UTP只有兩次握手，下圖表示結(jié)點(diǎn)建立連接的過程?？梢钥闯鰟?chuàng)建方發(fā)出一個(gè)ST_SYN包給接受方創(chuàng)建連接，類似于TCP的SYN包。接受方反饋ST_STATE包表示成功接收到，建立方接收到反饋表示雙向建立成功?，F(xiàn)今大多數(shù)的BT客戶端把UTP作為默認(rèn)協(xié)議。

UTP建立連接的兩次握手，這允許攻擊者用偽造的IP地址和放大器建立連接，因?yàn)榻邮芊讲粰z查創(chuàng)建方是否接收到了應(yīng)答。

示意圖如下：

一個(gè)偽造的帶著受害者IP地址的ST_DATA給接收方，接收方相信包中的源IP地址有效，反饋了第一個(gè)ST_DATA給受害者，而受害者的IP沒有意料到這個(gè)包，所以也不會(huì)回應(yīng)它。接收方到時(shí)間重傳丟失的ST_DATA包，如果連續(xù)四次傳輸未響應(yīng)則斷開連接。

連接建立后BT流需要一次握手作為第一條信息，包括了為擴(kuò)展保留的字節(jié)、hash信息和節(jié)點(diǎn)ID。如果客戶端接受了握手發(fā)現(xiàn)使用了未認(rèn)證的hash，客戶端立刻終結(jié)連接。攻擊者利用握手包基于UTP兩次握手創(chuàng)建放大攻擊。

ab兩步不贅述了，c步驟 攻擊者發(fā)送了一個(gè)裝載了BT流握手信息的ST_DATA包。 這個(gè)握手需要活躍的放大器種子hash信息(20字節(jié))，握手包最少88字節(jié)，如果放大器參與這個(gè)種子中，就會(huì)反饋步驟d ，d的握手包大于攻擊者發(fā)送的，因?yàn)榭蛻舳嗽赨TP包里放入了更多信息。

BT流提供Libtorrent 的擴(kuò)展協(xié)議(LTEP)添加新的擴(kuò)展而不妨礙默認(rèn)協(xié)議。如果一個(gè)攻擊者標(biāo)記支持LTEP 尤其在BEP10中 ，攻擊效果會(huì)進(jìn)一步放大而不用增加步驟c握手包的量。對(duì)等節(jié)點(diǎn)以此擴(kuò)展信息交換。

0×03 利用數(shù)據(jù)流加密握手包(MSE)攻擊

MSE的目的是混淆BT傳輸過程，防止受ISP的影響，而不是為了傳輸安全。盡管它有很多嚴(yán)重的弱點(diǎn)，但它還是被大多數(shù)BT客戶端使用。

這個(gè)協(xié)議開始于Diffie-Hellman 密鑰的交換 每個(gè)節(jié)點(diǎn)都產(chǎn)生了768位的公鑰 公鑰包括0-512位的隨機(jī)數(shù)r 。交換密鑰后，包會(huì)被RC4算法加密，UTP傳輸。

這種方法使攻擊者不必明確hash信息，發(fā)送一個(gè)偽造的MSE包(包括768位的公鑰沒有隨機(jī)數(shù))，客戶端隨即會(huì)反饋隨機(jī)數(shù)和公鑰。

結(jié)果證明MSE攻擊會(huì)顯著提升效率。進(jìn)一步說，加密裝載Ba和MSE生成的包Bv，熵高的屬性，使其難以被ISP或者DPI防火墻發(fā)現(xiàn)并封鎖。

0×04 深入DNS放大DDoS攻擊

DNS反射攻擊也能輕易達(dá)到千兆的級(jí)別。

最初的放大攻擊是著名的SMURF攻擊，發(fā)送ICMP請(qǐng)求給路由網(wǎng)絡(luò)廣播地址，配置發(fā)送ICMP給路由下的設(shè)備。攻擊者欺騙ICMP請(qǐng)求源是受害者的IP，因?yàn)镮CMP不包括握手，所以目標(biāo)無從確認(rèn)源IP是否合法。攻擊者放大攻擊的效果取決于路由下有多少設(shè)備。 不過SMURF攻擊是過去的事了，網(wǎng)絡(luò)管理員已經(jīng)配置它們的路由器不將ICMP請(qǐng)求發(fā)給網(wǎng)絡(luò)廣播地址。

好的放大攻擊方法有兩個(gè)條件：

1、協(xié)議沒有握手，允許IP源地址偽造(例如ICMP，UDP)

2、對(duì)查詢的回復(fù)要大于查詢本身

DNS是核心，無處不在的網(wǎng)絡(luò)平臺(tái)就是放大攻擊的資源。

DNS基于UDP傳輸，因此它們的源地址可以偽造并且接收者回應(yīng)前無從確定真實(shí)性。DNS也可以生成更大的反饋，輸入 dig ANY www.baidu.com @x.x.x.x(x.x.x.x是公開DNS解析器)，這是一個(gè)64字節(jié)的查詢會(huì)返回3223字節(jié)，攻擊效果放大了50倍。諷刺的是，huge DNSSEC 密鑰 ——這個(gè)被用來增加DNS系統(tǒng)安全性的協(xié)議反而成了放大攻擊的幫兇。

公開DNS解析器是互聯(lián)網(wǎng)的悲劇。

如果你用一個(gè)DNS解析器確保只返回可信用戶的查詢，例如你公司的IP空間是10.10.10.0/24 DNS解析器就只返回這個(gè)范圍IP的查詢，而不會(huì)回應(yīng)6.6.6.6的查詢信息。

問題就在于許多人運(yùn)行DNS解析器而不在乎哪個(gè)IP地址的人查詢。這樣的問題已經(jīng)存在10年之久，發(fā)生的事件表明很多不同的僵尸網(wǎng)絡(luò)為了發(fā)現(xiàn)DNS解析器開始枚舉互聯(lián)網(wǎng)IP空間，一旦發(fā)現(xiàn)就可利用于DNS放大攻擊。中國臺(tái)灣擁有世界第二多的公開DNS解析器資源。

有這樣一個(gè)網(wǎng)址可以查詢你的DNS http://openresolverproject.org/

世界上有2170萬個(gè)公開DNS解析器，網(wǎng)站正致力于關(guān)閉它們。

解決辦法

把recurison設(shè)置為no

允許在特定的地址查詢，options { allow-query{192.168.1.0/24;};};

0×05 NTP 放大DDoS攻擊 400Gbps的技術(shù)細(xì)節(jié)

2014年2月出現(xiàn)一次400Gbps規(guī)模的NTP攻擊，這類攻擊越來越走俏，這次事件可以作為一個(gè)好的例子來說明一下這種攻擊方法。

首先了解一下基礎(chǔ)的結(jié)構(gòu)，NTP放大攻擊開始于一個(gè)被黑客控制的服務(wù)器允許IP欺騙，攻擊者生成了很多UDP包欺騙源IP地址使來自特定目標(biāo)的包出現(xiàn)，這些UDP包發(fā)送到支持MONLIST命令的網(wǎng)絡(luò)時(shí)間協(xié)議服務(wù)器port123。

順便聊一聊MONLIST命令

它的用處在于返回一個(gè)NTP服務(wù)器上600個(gè)IP地址的列表，所以它可以拿來干壞事。如果一個(gè)NTP服務(wù)器完全遷移它的表，反饋的信息將被放大206倍。此類攻擊中IP地址偽造，UDP不需要握手，理論上有200倍的放大效果。

然而這不僅僅是理論，此次攻擊事件中，為了400Gbps的攻擊效果攻擊者應(yīng)用了運(yùn)行在1298個(gè)不同網(wǎng)絡(luò)上的4529臺(tái)NTP服務(wù)器。平均每臺(tái)NTP服務(wù)器產(chǎn)生87Mbps的通信量。值得注意的是攻擊者很可能只用了一個(gè)能IP欺騙的網(wǎng)絡(luò)服務(wù)器就做成了此次攻擊。

NTP服務(wù)器支持MONLIST和公開DNS解析器不一樣，雖然它們都趨向于多網(wǎng)絡(luò)連接的服務(wù)器。對(duì)比而言，NTP 攻擊更加的效率，2013年曾有一次幾乎玩壞互聯(lián)網(wǎng)的DDoS攻擊被紐約時(shí)報(bào)報(bào)道，利用30956公開DNS解析器，目標(biāo)Spamhaus產(chǎn)生300Gbps的通信量。NTP攻擊只用了1/7的服務(wù)器，實(shí)現(xiàn)的攻擊效果還比Spamhaus事件多1/3。

解決辦法：禁止MONLIST命令

黑客攻擊的前提是IP地址欺騙，如果你在管理網(wǎng)絡(luò)，確保遵守BCP38?？梢杂眠@個(gè)來自MIT的工具檢測(cè)一下http://spoofer.cmand.org/summary.php

最后如果你覺得NTP不好，那就等待下一個(gè)SNMP，但是SNMP理論上有650倍的放大效果，已經(jīng)看到有黑客躍躍欲試了，Buckle up。

參考資料

https://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet/

https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/

https://www.usenix.org/system/files/conference/woot15/woot15-paper-adamsky.pdf