又一種DDoS攻擊，服務(wù)器管理員需要做更多工作。

2012年，網(wǎng)絡(luò)罪犯們想出了如何濫用DNS來進(jìn)行大規(guī)模DDoS反射攻擊，我們可以將其理解為利用非常少的輸入創(chuàng)造大量流量。2013年，他們轉(zhuǎn)而利用網(wǎng)絡(luò)時間協(xié)議(Network Time Protocol，NTP)和簡單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol，SNMP)，其次不久則使用了簡單服務(wù)發(fā)現(xiàn)協(xié)議(Simple Service Discovery Protocol，SSDP)。

[[147411]]

發(fā)現(xiàn)規(guī)律了沒?DDoS攻擊涌入那些配置失當(dāng)?shù)姆?wù)器，情景十分壯觀，也讓人擔(dān)憂。管理員趕忙修復(fù)漏洞，但網(wǎng)絡(luò)犯罪分子每次都會從某個新的協(xié)議或服務(wù)上發(fā)現(xiàn)可趁之機(jī)，讓過程重演。

DDoS攻擊防御公司現(xiàn)在會定期警告所有使用普遍、但很少被管理員考慮到的協(xié)議。如今又出現(xiàn)了另一個不起眼的服務(wù)，Portmapper，它現(xiàn)在也加入了被濫用的列表中。

發(fā)生了什么?美國主力通訊運(yùn)營商Level 3注意到某種新型的DDoS攻擊，它會濫用Portmapper(也即RPCbind)服務(wù)。這種攻擊已經(jīng)存在了一段時間，但其數(shù)量最近則有戲劇性的增加。

數(shù)量高峰出現(xiàn)的時間：6月下旬到8月中旬。

RCS(遠(yuǎn)程控制系統(tǒng)，Remote Control System) Portmapper是什么?基本可以將其理解為經(jīng)典的Unix目錄服務(wù)，可以讓如PC等平臺上運(yùn)行的程序?qū)ζ渌恢玫挠嬎銠C(jī)發(fā)起遠(yuǎn)程過程調(diào)用(Remote Procedure Call，RPC)。它已經(jīng)存在好幾年了。

攻擊者做什么?他們偽造指向DDoS目標(biāo)的地址，將UDP包發(fā)送給公共Portmapper服務(wù)。Portmapper會幫助攻擊者返回一個大得多的響應(yīng)。如果有足夠多的查詢服務(wù)器，其管理人員也沒有意識到，那么這次攻擊就將被放大，壓倒攻擊目標(biāo)。

濫用有多么容易?Portmapper應(yīng)當(dāng)是內(nèi)部局域網(wǎng)使用的服務(wù)，不應(yīng)該從外部訪問到。顯然很多服務(wù)器都遺留了這一漏洞。

是不是很嚴(yán)重?允許外部方接觸到Portmapper不是好事，可能會讓服務(wù)器在不經(jīng)意間被用于DDoS攻擊第三方。

檢測到了多少攻擊流量?和其它被濫用協(xié)議進(jìn)行比較，很少。但Level 3公司希望人們在局勢惡化前注意到它。如果不提醒，這類威脅通常會被忽略。

有補(bǔ)丁嗎?并不存在特定的軟件漏洞：Portmapper服務(wù)只是完成了其原本的設(shè)計功能。解決方案是禁止該服務(wù)，或者阻止對該服務(wù)的外部訪問。

其它被濫用的協(xié)議：DNS、NTP、Chargen、Netbios、SNMP、SSDP。

Levels3的話：“為了避免你的組織在未來成為DDoS攻擊的幫兇，我們建議在開放互聯(lián)網(wǎng)上禁用Portmapper和NFS、NIS以及所有其它RPC服務(wù)，這是最優(yōu)方案。在必須保證開啟服務(wù)的情況下，應(yīng)該對所有能接觸到服務(wù)的IP地址開啟防火墻，隨后切換到TCP-only。”