UDP的应用层协议实现中的DoS攻击向量

本文描述了流行的基于UDP的应用层协议实现中的DoS攻击向量。据我们所知,虽然该攻击尚未被攻击者滥用,但实施门槛并不高。

背景:

应用层循环是一种(D)DoS攻击形式。具有欺骗能力的攻击者可以创建这样的循环,如果两个网络服务继续响应对方的消息。例如,想象一下,如果两个服务在接收到错误消息作为输入时都会响应错误消息,则可以创建这样的循环。如果输入错误导致输出错误,并且第二个系统的行为也是相同的,这两个系统将无限期地彼此发送错误消息。

为了说明攻击向量,想象一下具有这种错误反射行为的两个DNS解析器。如果对两个系统来说,一个错误的输入会导致错误的输出,那么在接收到攻击触发器时,这两个系统将不断地彼此发送错误消息,直到无限期。下图显示了我们在真实DNS服务器中发现的这样一个例子。攻击者现在可以通过注入单个IP欺骗的DNS错误消息在这两个有缺陷的DNS服务器之间引发循环。一旦注入,易受攻击的服务器将持续不断地发送DNS错误消息,对两个服务器和连接它们的任何网络链路都会造成压力。

图片

这种应用层循环行为现在(即2023年)已被发现存在于某些TFTP、DNS和NTP实现中。此外,至少有六种基于UDP的传统协议(QOTD、Chargen 和 Echo、Time、Daytime 和 Active Users)在设计上始终存在,部分文档记录在1996年的CERT公告CA-1996-01中。

应用层循环与由于配置错误的路由器引起的已知网络层循环不同。现有的在网络层检测循环的网络级防御措施(例如IP中的生存时间跳限)无法阻止攻击。需要采取正交行动项来减轻应用层循环DoS攻击的潜在危害。

运营社区的行动:

我们知道至少有TFTP(约23k个主机)、DNS(约63k个)、NTP(约89k个)、Echo/RFC862(约56k个)、Chargen/RFC864(约22k个)和QOTD/RFC865(约21k个)等有易受攻击的实现的服务器。我们尚未测试其他协议,并且专注于那些已被广泛部署(TFTP、DNS、NTP)或易于滥用(传统)的协议。

一次性报告至少23k个主机)、DNS(约63k个)、NTP(约89k个)、Echo/RFC862(约56k个)、Chargen/RFC864(约22k个)和QOTD/RFC865(约21k个)。我们尚未测试其他协议,并且专注于那些已被广泛部署(TFTP、DNS、NTP)或易于滥用(传统)的协议。

一次性报告:

我们知道至少有TFTP(约23k个主机)、DNS(约63k个)、NTP(约89k个)、Echo/RFC862(约56k个)、Chargen/RFC864(约22k个)和QOTD/RFC865(约21k个)等有易受攻击的实现的服务器。我们尚未测试其他协议,并且专注于那些已被广泛部署(TFTP、DNS、NTP)或易于滥用(传统)的协议。

同时修复所有这些服务器似乎不太现实。更糟糕的是,虽然我们知道一些受影响的产品和软件(请参阅常见问题解答),但我们尚不能将我们发现的大多数(约80%)易受攻击的系统归因于滥用。NTP中的漏洞可能可以归因于使用2010年前版本的ntpd的系统。传统协议(Echo/Chargen/QOTD/Time/Daytime/Active Users)由设计上容易受到攻击。对于TFTP和DNS,我们仍需要运营商的输入来了解受影响的软件设置。

报告地址:
https://docs.google.com/document/d/1KByZzrdwQhrXGPPCf9tUzERZyRzg0xOpGbWoDURZxTI/edit

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/27843.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年3月23日 上午12:20
下一篇 2024年3月23日 上午12:23

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注